• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

路由器3610 V5配置翻译为v7版本

2小时前提问
  • 0关注
  • 0收藏,25浏览
粉丝:0人 关注:0人

问题描述:

ike proposal 2
 encryption-algorithm aes-cbc-256
 dh group14
 
ike peer jq-to-sz
 proposal 2
 pre-shared-key simple Admin1234
 remote-address xxx
 local-address xxxx
 nat traversal
 
ipsec transform-set jq-to-sz
 encapsulation-mode tunnel
 transform esp
 esp authentication-algorithm sha1
 esp encryption-algorithm aes-cbc-256
 
ipsec policy xxxx 2 isakmp
 connection-name jq-to-sz
 security acl 3001 
 ike-peer jq-to-sz
 transform-set jq-to-sz
 sa duration traffic-based 1843200
 sa duration time-based 3600
 reverse-route


以上是v5版本的配置,其中“nat traversal”和“reverse-route”对应v7的什么配置,或者怎么实现?

3 个回答
粉丝:12人 关注:9人

以下是H3C V5到V7的配置翻译:
IKE Proposal部分
V5:
ike proposal 2
encryption-algorithm aes-cbc-256
dh group14
V7:
ike proposal 2
encryption-algorithm aes-256
dh group14
IKE Peer部分
V5:
ike peer jq-to-sz
proposal 2
pre-shared-key simple Admin1234
remote-address xxx
local-address xxxx
nat traversal
V7:
ike peer jq-to-sz
pre-shared-key simple Admin1234
proposal 2
remote-address xxx
local-address xxxx
nat traversal enable
IPsec Transform-set部分
V5:
ipsec transform-set jq-to-sz
encapsulation-mode tunnel
transform esp
esp authentication-algorithm sha1
esp encryption-algorithm aes-cbc-256
V7:
ipsec transform-set jq-to-sz
esp encryption-algorithm aes-256
esp authentication-algorithm sha1
encapsulation-mode tunnel
IPsec Policy部分
V5:
ipsec policy xxxx 2 isakmp
connection-name jq
V7:
ipsec policy xxxx 2 isakmp
ike-peer jq-to-sz
transform-set jq-to-sz
connection-name jq
说明
1. V7中加密算法名称简化,如aes-cbc-256改为aes-256;
2. V7中nat traversal需加enable关键字;
3. V7的ipsec policy需明确关联ike-peer和transform-set(V5中可能自动关联,V7需显式配置)。

暂无评论

粉丝:12人 关注:9人

 

暂无评论

粉丝:23人 关注:2人

MSR3610 V5 转 Comware V7 IPsec 完整对照 + 两条关键命令替换说明
一、两条重点指令 V7 对应实现方案
1、V5 nat traversal(NAT 穿越)
V5 写法
bash
运行
ike peer jq-to-sz
nat traversal
V7 实现(二选一,推荐全局开启)
全局全局开启 NAT-T(推荐,所有 IKE 对等体生效)
bash
运行
ike nat-traversal enable
单条 ike peer 视图单独开启(精准控制单个隧道)
bash
运行
ike peer jq-to-sz
nat-traversal enable
V7 默认 NAT-T 是关闭状态,必须手动开启,否则两端存在 NAT 设备时 IKE 协商失败;作用和 V5 完全一致,使用 UDP 4500 封装 IKE/IPsec 报文穿越 NAT。
2、V5 reverse-route(反向注入对端私网静态路由)
V5 作用
IPsec 隧道建立后,自动生成指向对端私网的静态路由,隧道断开自动删除,不用手动写静态路由。
V7 替代方案:remote-route auto-insert
配置位置:ipsec policy 视图下
bash
运行
ipsec policy xxxx 2 isakmp
remote-route auto-insert
功能完全等价 V5 reverse-route:
SA 建立时自动注入对端 ACL 匹配的私网路由,下一跳为对端网关 remote-address
SA 失效 / 隧道断开,路由自动删除,无需人工维护静态路由
二、完整 V7 迁移后全套可直接复制配置
bash
运行
# 1.IKE提议(语法几乎无变化)
ike proposal 2
encryption-algorithm aes-cbc-256
dh group14
authentication-algorithm sha1 # V7必须补充认证算法,V5可省略默认md5

# 全局开启NAT-T(替代V5 ike peer下nat traversal)
ike nat-traversal enable

# 2.IKE对等体
ike peer jq-to-sz pre-shared-key simple Admin1234
ike peer jq-to-sz
proposal 2
remote-address ***.***/bFFMo
local-address xxxx.xxxx.xxxx.xxxx
# V7 nat-traversal单peer开启(如果不用全局开启就加这条)
# nat-traversal enable

# 3.IPsec安全提议(语法几乎无变化)
ipsec transform-set jq-to-sz
encapsulation-mode tunnel
transform esp
esp authentication-algorithm sha1
esp encryption-algorithm aes-cbc-256

# 4.IPsec策略(核心改动:reverse-route替换为remote-route auto-insert)
ipsec policy xxxx 2 isakmp
connection-name jq-to-sz
security acl 3001
ike-peer jq-to-sz
transform-set jq-to-sz
sa duration traffic-based 1843200
sa duration time-based 3600
# V7替代reverse-route,自动注入对端反向路由
remote-route auto-insert
三、V5/V7 其他语法细微差异补充
ike proposal:V7 强制要求配置authentication-algorithm,V5 可省略,不补会协商失败;
pre-shared-key:V7 支持两种写法,可写在 ike peer 外层简化配置;
V7 所有特性命令统一加enable后缀(nat-traversal enable),V5 直接写关键字;
接口应用 ipsec policy 语法不变:interface GigabitEthernet0/0 → ipsec apply policy xxxx。
四、验证命令(V7 排查隧道、路由)
bash
运行
# 查看IKE对等体NAT-T状态
display ike peer jq-to-sz
# 查看IPsec策略自动注入的反向路由
display ip routing-table protocol static
# 查看IPsec SA隧道状态
display ipsec sa
# 查看NAT-T全局开关
display ike configuration
极简总结
nat traversal:V7 用 ike nat-traversal enable(全局)或 peer 下nat-traversal enable;
reverse-route:V7 ipsec policy 视图下写 remote-route auto-insert,功能完全等效;
其余加密、DH、SA 生命周期语法基本不变,仅需补充 ike proposal 的 sha1 认证算法。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明