0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

东用科技路由器与H3C Router构建IPSec VPN配置指导手册

北京东用科技有限公司 2023-03-31 14:27 次阅读

一、H3C Router配置:
system-view//进入配置模式
[H3CRouter]local-user admin//添加本地用户
[H3CRouter-luser-cisco]password simple admin//为添加的用户设置密码
[H3CRouter-luser-cisco]service-type web//开启网页配置功能
[H3CRouter-luser-cisco]quit
[H3CRouter]Ethernetinterface Ethernet 0/0//进入接口配置模式
[H3CRouter-Ethernet0/0]ip address 123.15.36.140 255.255.255.128//配置外网接口地址
[H3CRouter-Ethernet0/0]quit//退出接口配置模式
[H3CRouter-Ethernet0/1]ip address 172.18.253.1 255.255.255.0//配置内外接口地址
[H3CRouter-Ethernet0/0]quit//退出接口配置模式
[H3CRouter]ip route-static 0.0.0.0 0.0.0.0 123.15.36.129//配置静态路由
[H3CRouter]acl number 3000//创建访问控制列表
[H3CRouter-acl-3000]rule 5 permit ip source 172.18.253.0 0.0.0.255//允许内网网段访问公网
[H3CRouter-Ethernet0/0]quit//退出接口配置模式
[H3CRouter]acl number 3001//创建访问控制列表
[H3CRouter-acl-3001]rule 0 permit ip source 172.18.253.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
rule 5 deny ip//拒绝除内网网段以为的网段访问远端子
[H3CRouter]Ethernetinterface Ethernet 0/0//进入接口配置模式
[H3CRouter-Ethernet0/0]nat outbound 3000//在外网接口上启用ACL 3000
[H3CRouter-Ethernet0/0]quit//退出接口配置模式
[H3CRouter]ike proposal 1//创建IKE提议,并进入IKE提议视图
[H3CRouter]ike peer fenzhi//创建一个IKE对等体,并进入IKE-Peer视图
[H3CRouter-ike-peer-fenzhi]exchange-mode aggressive//配置IKE第一阶段的协商为野蛮模式
[H3CRouter-ike-peer-fenzhi]proposal 1//配置IKE对等体引用的IKE安全提议
[H3CRouter-ike-peer-fenzhi]pre-shared-key simple abc123//配置采用预共享密钥认证时,所使用的预共享密钥
[H3CRouter-ike-peer-fenzhi]id-type name//选择IKE第一阶段的协商过程中使用ID的类型
[H3CRouter-ike-peer-fenzhi]remote-name fenzhi//配置对端安全网关的名字
[H3CRouter-ike-peer-fenzhi]remote-address fenzhi dynamic//配置对端安全网关的IP地址
[H3CRouter-ike-peer-fenzhi]local-address 123.15.36.140//配置本端安全网关的IP地址
H3CRouter-ike-peer-fenzhi]local-name center//配置本端安全网关的名字
[H3CRouter-ike-peer-fenzhi]nat traversal//配置IKE/IPsec的NAT穿越功能
[H3CRouter-ike-peer-fenzhi]quit
[H3CRouter]ipsec transform-set fenzhi//配置IPsec安全提议fenzhi
[H3CRouter-ipsec-transform-set-tran1]encapsulation-mode tunnel//报文封装形式采用隧道模式
[H3CRouter-ipsec-transform-set-tran1]transform esp//安全协议采用ESP协议
[H3CRouter-ipsec-transform-set-tran1]esp encryption-algorithm 3des//选择ESP协议采用的加密算法
[H3CRouter-ipsec-transform-set-tran1]esp authentication-algorithm md5//选择ESP协议采用的认证算法
[H3CRouter-ipsec-transform-set-tran1]quit
[H3CRouter]ipsec policy 983040 1 isakmp//创建一条IPsec安全策略,协商方式为isakmp
[H3CRouter-ipsec-policy-isakmp-use1-10]security acl 3001//引用访问控制列表3001
[H3CRouter-ipsec-policy-isakmp-use1-10]transform-set fenzhi//引用IPsec安全提议
[H3CRouter-ipsec-policy-isakmp-use1-10]ike-peer fenzhi//引用IKE对等体
[H3CRouter-ipsec-policy-isakmp-use1-10]quit
[H3CRouter]interface ethernet 0/0//进入外部接口
[H3CRouter-Ethernet0/1]ipsec policy 983040//在外部接口上应用IPsec安全策略组
验证配置结果
[H3CRouter]display ike proposal
priority authentication authentication encryption Diffie-Hellman duration
method algorithm algorithm group(seconds)
---------------------------------------------------------------------------
10 PRE_SHARED MD5 DES_CBC MODP_768 5000
default PRE_SHARED SHA DES_CBC MODP_768 86400
[H3CRouter]display ike proposal
priority authentication authentication encryption Diffie-Hellman duration
method algorithm algorithm group(seconds)
---------------------------------------------------------------------------
default PRE_SHARED SHA DES_CBC MODP_768 86400
可通过如下显示信息查看到IKE协商成功后生成的两个阶段的SA。
[H3CRouter]display ike sa
total phase-1 SAs:1
connection-id peer flag phase doi
----------------------------------------------------------
1 219.140.142.211 RD|ST 1 IPSEC
2 219.140.142.211 RD|ST 2 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO—TIMEOUT RK-REKEY
IKE第二阶段协商生成的IPsec SA用于保护子网10.1.1.0/24与子网10.1.2.0/24之间的数据流,可通过如下显示信息查看。
[H3CRouter]display ipsec sa
===============================
Interface:Ethernet0/1
path MTU:1500
===============================
-----------------------------
IPsec policy name:"map1"
sequence number:10
acl version:ACL4
mode:isakmp
-----------------------------
PFS:N,DH group:none
tunnel:
local address:123.15.36.140
remote address:219.140.142.211
flow:
sour addr:172.18.253.0/255.255.255.0 port:0 protocol:IP
dest addr:192.168.2.0/255.255.255.0 port:0 protocol:IP
[inbound ESP SAs]
spi:0x3D6D3A62(1030568546)
transform:ESP-ENCRYPT-DES ESP-AUTH-SHA1
in use setting:Tunnel
connection id:1
sa duration(kilobytes/sec):1843200/3600
sa remaining duration(kilobytes/sec):1843199/3590
anti-replay detection:Enabled
anti-replay window size(counter based):32
udp encapsulation used for nat traversal:N
[outbound ESP SAs]
spi:0x553FAAE(89389742)
transform:ESP-ENCRYPT-DES ESP-AUTH-SHA1
in use setting:Tunnel
connection id:2
sa duration(kilobytes/sec):1843200/3600
sa remaining duration(kilobytes/sec):1843199/3590
anti-replay detection:Enabled
anti-replay window size(counter based):32
udp encapsulation used for nat traversal:N
二、东用科技路由器IPSec VPN配置
● ORB305

poYBAGQmV6aAUXBKAADG7ZDcQIw963.pngpYYBAGQmV6aAJViBAADNhSlmlkg802.pngpoYBAGQmV6aABfB9AADURkegwyc266.png


● ORB301

poYBAGQmV7KAXq8LAAEi3yf-9JM315.pngpYYBAGQmV7KAGVE4AAEti2sAh4k913.png
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • VPN
    VPN
    +关注

    关注

    4

    文章

    291

    浏览量

    29701
  • 路由器
    +关注

    关注

    22

    文章

    3728

    浏览量

    113701
  • IPSec
    +关注

    关注

    0

    文章

    59

    浏览量

    22808
收藏 人收藏

    评论

    相关推荐

    H3C模拟器使用教程

    H3C模拟器使用教程
    发表于 08-28 14:24 0次下载

    InRouter与Cisco Router构建L2tp VPN的方法

    1. 概述本文档主要讲述了关于映翰通InRouter路由器不中心端Cisco Router(支持VPN)构建L2TP VPN的方法。InRo
    发表于 07-26 08:25

    IR700与SSG5防火墙如何建立VPN模板?

    =routering-destination 北京映翰通无线路由器配置登录IP地址是192.168.2.1用户名:adm密码123456 1 无线路由器LAN基本配置参数 2 无
    发表于 07-26 08:12

    深信服防火墙和IR700建立IPSec VPN配置说明

    深信服防火墙和IR700建立IPSec VPN 配置说明本文档针对深信服防火墙 的常规使用以及与无线路由器InRouter配合使用时(主要是建IPS
    发表于 07-26 07:43

    InRouter路由器与中心端OpenVPN服务构建OpenVPN的方法

    本文档主要讲述了关于映翰通InRouter路由器与中心端OpenVPN 服务构建OpenVPN的方法。InRouter 61X,Inrou
    发表于 07-26 07:26

    IR ROUTERH3C设备建立IPSEC VPN时的注意事项

    IR ROUTERH3C设备建立IPSEC VPN需要注意的地方,下面主要以图形界面体现出来,因为默认情况下H3C-H3C连接时,有些
    发表于 07-26 06:12

    一文详解动态多点VPN技术

    ,要用到动态路由协议,动态路由协议组播和广播宣告路由信息,所以不能直接使 IPSec加密。G
    发表于 07-26 06:07

    IPSecVPN + PPTP VPN Demo搭建配置说明

    IPSec 建立成功状态 IR9XX路由器配置配置LAN接口 新建IPSecVPN 增加ICMP探测
    发表于 07-26 06:01

    InRouter与Juniper SRX如何建立IPSec隧道配置

    公网IP,防火墙WAN接口(Unturst接口)接入互联网,LAN(Trust接口为企业内网)。LTE 4G 无线路由器与Juniper SRX防火墙建立IPSec VPN,使得企业的LAN可以访问
    发表于 07-25 07:32

    H3C Router与InRouter900如何建立IPSecVPN

    本文档针对H3C Router的常规使用以及与无线路由器InRouter配合使用时(主要是建IPSec VPN)双方的相关
    发表于 07-25 07:04

    TP-LINK TL-ER6220G通过IPSec VPN在公司内网访问外部设备,设置后连接不成功怎么解决?

    TP-LINK TL-ER6220G为公司主路由器,映瀚通IR615为设备端路由器,想通过IPSec VPN在公司内网访问外部设备,设置后连接不成功,请教高手。 公司端设置:
    发表于 07-25 06:15

    两台IR615和华为USG6335E建立IPsecVPN的过程

    华为防火墙作为中心网关,两台IR615路由器作为分支节点,与中心网关建立IPSecVPN隧道,对中心网关子网(10.168.1.0/24)和路由器IR615-1的子网(10.168.2.0/24
    发表于 07-24 07:20

    IR915与AF1000建立IPSecVPN配置的过程

    界面配置如图4所示参数:(对端设备地址类型选择动态IP,预共享密钥与路由器配置要一致) 图 4 第四步:点击图3界面内的“新增”,增加加密数据流,
    发表于 07-24 07:02

    中国移动近日正式推出全球首台算力路由器—CATS Router

    3月11日消息,中国移动近日正式推出历时两年研制成功的全球首台算力路由器——CATS Router
    的头像 发表于 03-11 16:08 981次阅读
    中国移动近日正式推出全球首台算力<b class='flag-5'>路由器</b>—CATS <b class='flag-5'>Router</b>

    广域网路由器和局域网路由器有哪些区别呢?

    的区别。 一、定义和范围: 广域网路由器(WAN Router)是指用于连接广域网络的路由器,其范围涵盖多个局域网(LAN)、企事业单位或不同地区之间的网络,并通过互联网进行数据传输。 局域网
    的头像 发表于 12-27 16:27 1085次阅读