HCL中配置ipsec 野蛮模式问题 2个路由器 一边固定IP公网地址 一个DHCP 分配的公网地址 在固定公网地址上 如果不配置 ipsec policy 1 1 isakmp 里面如果不配置 remote-address 就无法协商起IKE SA IPSEC SA 对面公网地址不固定 还要写这个remote-address 有什么意义 是不是模拟器问题 ike 本段 对段都用了local-identity fqdn ***.*** match remote identity fqdn ***.*** 请问是我配置错误 还是 模拟器bug
(0)
最佳答案
应该是你配置有问题,之前我用模拟器测试都是ok的,
参考这个案例重新设置一下:https://zhiliao.h3c.com/Theme/details/2012
这是我以前测试的过程:
需求1:RT1端采用拨号接入公网,RT3端公网口固定IP地址。
需求2
#
acl advanced 3000
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
# //配置需要通过ipsec vpn的数据流
acl advanced 3001
rule 5 deny ip destination 192.168.2.0 0.0.0.255
rule 10 permit ip //配置需要nat上网的地址,拒绝需要加密的数据
#
ipsec transform-set 1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1 //配置安全提议
#
ipsec policy 1 1 isakmp
transform-set 1
security acl 3000
remote-address 2.2.2.1
ike-profile 1 //配置安全策略
#
ike identity fqdn cai //配置IKE身份信息
#
ike profile 1
keychain 1
exchange-mode aggressive
match remote identity fqdn pp
proposal 1 //配置ike profile、IKE第一阶段协商为野蛮模式
#
ike proposal 1 //配置ike proposal
#
ike keychain 1
pre-shared-key
address 2.2.2.1 255.255.255.255 key cipher
$c$3$03LztnEtNqCoz1Rup5JAUDfHAceJTQ==
//
#
ip route-static 0.0.0.0 0 2.2.2.2 //配置静态路由
acl advanced 3000
rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
## //配置需要通过ipsec vpn的数据流
ipsec transform-set 1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1 //配置安全提议
#
ipsec policy-template 1 1
transform-set 1
security acl 3000
ike-profile 1 //配置模板
ipsec policy 1 1 isakmp template 1 //配置安全策略绑定模板
#
ike identity fqdn pp //配置IKE
#
i ike profile 1
keychain 1
exchange-mode aggressive
match remote identity fqdn cai
proposal 1 //配置ike profile、IKE第一阶段协商为野蛮模式
#
ike proposal 1 //配置ike proposal
#
ike keychain 1
pre-shared-key hostname cai key cipher $c$3$i1Sgj37FIGHtP0c8UasgqnVjXP3Rjw==
//配置ike keychain
#
(0)
还是不行 你这个案例 还是配置 remote-address 对方公网地址不固定 你没法配置 remote-address 啊
指定对端name、或者fqdn
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明