H3C和CISCO裝置之間的ipsec vpn 配置例項
CISCO裝置(PIX/ASA/ROUTER):外網口ip:1.1.1.1 內網伺服器:192.168.1.1
H3C secpath:外網口ip:2.2.2.2 內網伺服器:192.168.2.2
通過ipsec vpn,允許兩臺伺服器之間通訊
CISCO配置:
#步驟1
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto map Myvpn 1 matchaddress VPN
crypto map Myvpn 1 set peer 2.2.2.2
crypto map Myvpn 1 settransform-set Myset
crypto map Myvpn interfaceoutsidecrypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 2.2.2.2 type ipsec-l2l
ike peer peermtom
pre-shared-key 123456
remote-address 1.1.1.1
local-address 2.2.2.2
#
authentication-algorithm sha
authentication-method pre-share
encryption-algorithm 3des-cbc
dh group2
sa duration 86400
#
#對應cisco的步驟2(藍色標記的引數兩邊必須一致)
ipsec proposal promtom
encapsulation-mode tunnel
transform esp
esp encryption-algorithm 3des
esp authentication-algorithm sha1
#
#
ipsec policy policymtom 10 isakmp
security acl 3333
ike-peer peermtom
proposal promtom
#
rule 0 permit ip source 192.168.2.2 0destination 192.168.1.1 0
rule 5 deny ip
#
acl number 2000
rule 0 deny source 192.168.2.2 0
……
# 配置到對方內網伺服器的靜態路由
ip route-static 192.168.1.1 32 g1/0 (g1/0為防火牆外網口)
#在外網介面上應用ipsec
#int g1/0
ipsecpolicy policymtom
配置完成後,在防火牆上用以下命令檢視vpn是否建立:
dis ike sa ;若ike協商成功,再用以下命令檢視
dis ipsec sa ;若有輸出資訊,是否成功你一看就知道了。
H3C secpath:外網口ip:2.2.2.2 內網伺服器:192.168.2.2
通過ipsec vpn,允許兩臺伺服器之間通訊
CISCO配置:
#步驟1
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
#步驟2
crypto ipsec transform-setMyset esp-des esp-sha-hmaccrypto map Myvpn 1 matchaddress VPN
crypto map Myvpn 1 set peer 2.2.2.2
crypto map Myvpn 1 settransform-set Myset
crypto map Myvpn interfaceoutsidecrypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
tunnel-group 2.2.2.2 type ipsec-l2l
tunnel-group 2.2.2.2 ipsec-attributes
#定義感興趣流量
access-list VPN extendedpermit ip host 192.168.1.1 host 192.168.2.2
H3C的配置:
ike peer peermtom
pre-shared-key 123456
remote-address 1.1.1.1
local-address 2.2.2.2
#
#對應cisco的步驟1(藍色標記的引數兩邊必須一致)
authentication-algorithm sha
authentication-method pre-share
encryption-algorithm 3des-cbc
dh group2
sa duration 86400
#
#對應cisco的步驟2(藍色標記的引數兩邊必須一致)
ipsec proposal promtom
encapsulation-mode tunnel
transform esp
esp encryption-algorithm 3des
esp authentication-algorithm sha1
#
#
ipsec policy policymtom 10 isakmp
security acl 3333
ike-peer peermtom
proposal promtom
#
#定義感興趣流量(必須與cisco中定義的感興趣流量互為映象)
rule 0 permit ip source 192.168.2.2 0destination 192.168.1.1 0
rule 5 deny ip
#
#將內網伺服器地址從nat轉換列表中去除(應儘量放在第一行)
假設防火牆上用於NAT轉換的acl為2000:acl number 2000
rule 0 deny source 192.168.2.2 0
……
# 配置到對方內網伺服器的靜態路由
ip route-static 192.168.1.1 32 g1/0 (g1/0為防火牆外網口)
#在外網介面上應用ipsec
#int g1/0
ipsecpolicy policymtom
配置完成後,在防火牆上用以下命令檢視vpn是否建立:
dis ike sa ;若ike協商成功,再用以下命令檢視
dis ipsec sa ;若有輸出資訊,是否成功你一看就知道了。
相關文章
- H3C MSR 20-20 IPsec VPN 配置
- 艾泰HiPER2620和H3C裝置建立IPSEC VPN
- Cisco路由器VPN配置路由器
- CISCO交換機,埠安全配置例項。
- 解析天翼雲IPsec VPN和SSL VPN的區別
- 【安全系列】IPSECVPN配置例項
- Cisco路由器的安全配置簡易例項(上)路由器
- Cisco路由器的安全配置簡易例項(中)路由器
- Cisco路由器的安全配置簡易例項(三)路由器
- IPSEC VPN 與 SSL VPN 兩種VPN 風險比較
- 基於Linux和IPSec的VPN閘道器Linux
- Oracle for Windows安裝和配置之一OracleWindows
- Oracle for Windows安裝和配置之二OracleWindows
- 記IPSec VPN對接故障的排查
- HUAWEI防火牆同一例項場景下配置IPSec隧道防火牆
- IPSec VPN安全應用系統
- OpenVPN安裝配置
- Argo 安裝和 workflow 例項配置檔案解析Go
- CAS跨域SSO例項安裝和配置指南跨域
- IPsec在企業網中的應用!(vpn)
- Cisco VPN套件中過期的SSL證書將破壞網路配置套件
- jafka安裝配置和啟動一個自帶例項和手寫一個例項
- CentOS快速搭建IPsec/L2TP VPNCentOS
- IPsec_VPN實現技術【轉載】
- Mysql for Linux安裝配置之—— 原始碼安裝MySqlLinux原始碼
- 在電腦和安卓裝置之間使用 FTP 傳輸檔案安卓FTP
- 解決在ubuntu 上安裝 the Cisco AnyConnect client(vpn外掛)的問題Ubuntuclient
- VPN隧道協議-GRE、L2TP、IPSEC協議
- cisco無線AP設定VLAN配置樣例。
- jQuery Validate全域性配置和例項配置jQuery
- 詳細介紹PPTP、L2TP、IPSec、OpenVPN和SSTP的區別pptp
- 《Cisco/H3C交換機高階配置與管理技術手冊》目錄
- CISCO 交換機IOS升級排障例項(轉)iOS
- ASM例項配置監聽和TNSASM
- Mysql for Linux安裝配置之—— rpm(bundle)安裝MySqlLinux
- 配置h3c裝置ssh登入
- 記錄Mybatis的配置之謎MyBatis
- 使用H3C的辦公室路由器和IDC的防火牆建立IPSecVPN路由器防火牆