| ike proposal 2 |
| encryption-algorithm aes-cbc-256 |
| dh group14 |
| ike peer jq-to-sz |
| proposal 2 |
| pre-shared-key simple Admin1234 |
| remote-address xxx |
| local-address xxxx |
| nat traversal |
| ipsec transform-set jq-to-sz |
| encapsulation-mode tunnel |
| transform esp |
| esp authentication-algorithm sha1 |
| esp encryption-algorithm aes-cbc-256 |
| ipsec policy xxxx 2 isakmp |
| connection-name jq-to-sz |
| security acl 3001 |
| ike-peer jq-to-sz |
| transform-set jq-to-sz |
| sa duration traffic-based 1843200 |
| sa duration time-based 3600 |
| reverse-route |
以上是v5版本的配置,其中“nat traversal”和“reverse-route”对应v7的什么配置,或者怎么实现?
MSR3610 V5 转 Comware V7 IPsec 完整对照 + 两条关键命令替换说明
一、两条重点指令 V7 对应实现方案
1、V5 nat traversal(NAT 穿越)
V5 写法
bash
运行
ike peer jq-to-sz
nat traversal
V7 实现(二选一,推荐全局开启)
全局全局开启 NAT-T(推荐,所有 IKE 对等体生效)
bash
运行
ike nat-traversal enable
单条 ike peer 视图单独开启(精准控制单个隧道)
bash
运行
ike peer jq-to-sz
nat-traversal enable
V7 默认 NAT-T 是关闭状态,必须手动开启,否则两端存在 NAT 设备时 IKE 协商失败;作用和 V5 完全一致,使用 UDP 4500 封装 IKE/IPsec 报文穿越 NAT。
2、V5 reverse-route(反向注入对端私网静态路由)
V5 作用
IPsec 隧道建立后,自动生成指向对端私网的静态路由,隧道断开自动删除,不用手动写静态路由。
V7 替代方案:remote-route auto-insert
配置位置:ipsec policy 视图下
bash
运行
ipsec policy xxxx 2 isakmp
remote-route auto-insert
功能完全等价 V5 reverse-route:
SA 建立时自动注入对端 ACL 匹配的私网路由,下一跳为对端网关 remote-address
SA 失效 / 隧道断开,路由自动删除,无需人工维护静态路由
二、完整 V7 迁移后全套可直接复制配置
bash
运行
# 1.IKE提议(语法几乎无变化)
ike proposal 2
encryption-algorithm aes-cbc-256
dh group14
authentication-algorithm sha1 # V7必须补充认证算法,V5可省略默认md5
# 全局开启NAT-T(替代V5 ike peer下nat traversal)
ike nat-traversal enable
# 2.IKE对等体
ike peer jq-to-sz pre-shared-key simple Admin1234
ike peer jq-to-sz
proposal 2
remote-address ***.***/bFFMo
local-address xxxx.xxxx.xxxx.xxxx
# V7 nat-traversal单peer开启(如果不用全局开启就加这条)
# nat-traversal enable
# 3.IPsec安全提议(语法几乎无变化)
ipsec transform-set jq-to-sz
encapsulation-mode tunnel
transform esp
esp authentication-algorithm sha1
esp encryption-algorithm aes-cbc-256
# 4.IPsec策略(核心改动:reverse-route替换为remote-route auto-insert)
ipsec policy xxxx 2 isakmp
connection-name jq-to-sz
security acl 3001
ike-peer jq-to-sz
transform-set jq-to-sz
sa duration traffic-based 1843200
sa duration time-based 3600
# V7替代reverse-route,自动注入对端反向路由
remote-route auto-insert
三、V5/V7 其他语法细微差异补充
ike proposal:V7 强制要求配置authentication-algorithm,V5 可省略,不补会协商失败;
pre-shared-key:V7 支持两种写法,可写在 ike peer 外层简化配置;
V7 所有特性命令统一加enable后缀(nat-traversal enable),V5 直接写关键字;
接口应用 ipsec policy 语法不变:interface GigabitEthernet0/0 → ipsec apply policy xxxx。
四、验证命令(V7 排查隧道、路由)
bash
运行
# 查看IKE对等体NAT-T状态
display ike peer jq-to-sz
# 查看IPsec策略自动注入的反向路由
display ip routing-table protocol static
# 查看IPsec SA隧道状态
display ipsec sa
# 查看NAT-T全局开关
display ike configuration
极简总结
nat traversal:V7 用 ike nat-traversal enable(全局)或 peer 下nat-traversal enable;
reverse-route:V7 ipsec policy 视图下写 remote-route auto-insert,功能完全等效;
其余加密、DH、SA 生命周期语法基本不变,仅需补充 ike proposal 的 sha1 认证算法。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论