最佳答案
请参考:http://www.h3c.com/cn/d_201901/1145867_30005_0.htm#_Ref470697706
(7) 配置IPsec安全提议
# 创建IPsec安全提议tran1。
[Device] ipsec transform-set tran1
# 配置安全协议对IP报文的封装形式为传输模式。
[Device-ipsec-transform-set-tran1] encapsulation-mode transport
# 配置采用的安全协议为ESP。
[Device-ipsec-transform-set-tran1] protocol esp
# 配置ESP协议采用的加密算法为256比特的AES,认证算法为HMAC-SHA1。
[Device-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-256
[Device-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[Device-ipsec-transform-set-tran1] quit
(8) 配置IPsec安全策略模板
# 创建一个IPsec安全策略模板pt,并进入IPsec安全策略模板pt的视图。
[Device] ipsec policy-template pt 1
# 指定引用的安全提议为tran1。
[Device-ipsec-policy-template-pt-1] transform-set tran1
# 指定引用的IKE profile为profile1。
[Device-ipsec-policy-template-pt-1] ike-profile profile1
# 配置反向路由注入功能。
[Device-ipsec-policy-template-pt-1] reverse-route dynamic
[Device-ipsec-policy-template-pt-1] quit
(9) 创建安全策略
# 引用安全策略模板pt创建一条IKE协商方式的安全策略map1。
[Device] ipsec policy map1 1 isakmp template pt
(10) 在接口上应用IPsec安全策略
# 在接口GigabitEthernet1/0/1上应用IPsec安全策略map1。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ipsec apply policy map1
[Device-GigabitEthernet1/0/1] quit
- 2019-04-02回答
- 评论(1)
- 举报
-
(0)
如果你只是配置的ipsec隧道,不需要为对端私网指定网关,就走缺省路由就行,因为隧道的最外层封装是两端的外网接口地址,只要被保护的数据流acl配置正确,这点很关键,如果你是做了GRE over ipsec 才需要指定到对端私网的路由
- 2019-04-02回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
VPN已经通了,就是路由过不去,对等