h3C总部和分支ipsec-vpn问题
- 0关注
- 0收藏,30浏览
总部固定公网 IP + 分支 PPPoE 动态获取 IP IPSec-IKE 野蛮模式配置案例(F1000 V7 通用)
组网:
总部 FW:固定公网 IP:A.A.A.A,内网:192.168.100.0/24
分支 FW:PPPoE 拨号动态公网 IP,内网:192.168.50.0/24
分支动态 IP 必须使用 IKE aggressive 野蛮模式、域名 / ID 标识对等体,不用填对端 IP,主模式无法适配动态对端。
一、总部防火墙配置(固定公网 A.A.A.A)
1、感兴趣流 ACL(两端内网互访)
plaintext
system-view
acl advanced 3000
rule permit ip source 192.168.100.0 0.0.0.255 destination 192.168.50.0 0.0.0.255
2、IKE 预共享密钥、IKE 提议、IKE 配置文件(野蛮核心)
plaintext
#密钥
ike keychain BRANCH-KEY
pre-shared-key simple Admin@123 match remote fqdn branch.h3c.local
#IKE提案
ike proposal 10
encryption-algorithm aes-128
dh group14
authentication-algorithm sha2-256
#IKE profile(野蛮、本端ID、对端FQDN)
ike profile BRANCH-PROFILE
proposal 10
exchange-mode aggressive
local-identity fqdn head.h3c.local
match remote-identity fqdn branch.h3c.local
keychain BRANCH-KEY
3、IPSec 变换集 + 策略
plaintext
ipsec transform-set IPSEC-TRANS
esp encryption-algorithm aes-128
esp authentication-algorithm sha2-256
#isakmp策略,local-address填总部固定公网口IP
ipsec map IPSEC-MAP 10 isakmp
transform-set IPSEC-TRANS
security acl 3000
local-address A.A.A.A
ike-profile BRANCH-PROFILE
4、外网接口绑定 IPSEC 策略
plaintext
interface GigabitEthernet 1/0/0 #总部出外网口
ipsec apply policy IPSEC-MAP
5、安全域放行(V7 安全策略)
plaintext
security-policy ip
rule permit source-zone Trust destination-zone Untrust service ike
rule permit source-zone Untrust destination-zone Trust service ike
rule permit source-zone Trust destination-zone Trust ip
二、分支防火墙配置(PPPoE 动态拨号)
1、PPPoE 拨号配置(获取动态公网)
plaintext
interface Dialer0
link-mode route
dialer bundle enable
dialer number 1
ip address ppp-negotiate
interface GigabitEthernet 1/0/0
port link-mode route
pppoe-client dial-bundle-number 1
2、感兴趣流 ACL
plaintext
acl advanced 3000
rule permit ip source 192.168.50.0 0.0.0.255 destination 192.168.100.0 0.0.0.255
3、IKE 配置(对端填总部固定 IP,本端 FQDN)
plaintext
ike keychain BRANCH-KEY
pre-shared-key simple Admin@123 match remote fqdn head.h3c.local
ike proposal 10
encryption-algorithm aes-128
dh group14
authentication-algorithm sha2-256
#重点:remote-address写总部固定公网IP
ike profile HEAD-PROFILE
proposal 10
exchange-mode aggressive
local-identity fqdn branch.h3c.local
match remote-identity fqdn head.h3c.local
match remote-address A.A.A.A
keychain BRANCH-KEY
4、IPSec 策略 + 拨号口绑定
plaintext
ipsec transform-set IPSEC-TRANS
esp encryption-algorithm aes-128
esp authentication-algorithm sha2-256
ipsec map IPSEC-MAP 10 isakmp
transform-set IPSEC-TRANS
security acl 3000
local-address dialer0
ike-profile HEAD-PROFILE
interface Dialer0
ipsec apply policy IPSEC-MAP
5、分支静态路由(访问总部内网下一跳拨号出口)
plaintext
ip route-static 192.168.100.0 255.255.255.0 Dialer0 preference 60
6、安全策略放行 IKE(UDP500/4500)
plaintext
security-policy ip
rule permit source-zone Trust destination-zone Untrust service ike
三、关键知识点
野蛮模式必备:两端使用 FQDN 身份标识,分支不用固定 IP;主模式必须两端全固定 IP;
NAT 环境:设备自动 NAT-T 穿透(UDP4500),无需额外配置;
触发 VPN:分支内网 ping 总部内网自动协商 SA;
查看调试命令
plaintext
display ike sa
display ipsec sa
debugging ike all
四、多分支扩展
总部 ike-profile 可以批量匹配多个分支 FQDN,一条策略容纳多条动态分支。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论