H3C MSR 20-20 IPsec VPN 配置
兩端做ipsec vpn的前提條件:有一端必須是公網靜態IP。兩端是動態的情況下vpn隧道的可靠性依託於第三方策略伺服器,現在華為的裝置不支援。
MSR2020的配置:
#IKE本端名稱
ike local-name center
#ipsec policy要引用的ACL
acl number 3002
rule 5 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 15 deny ip
#配置IKE安全提議,如果兩端裝置型號相同可以採用預設值;若兩端裝置不同必須搞清楚裝置所採用的驗證演算法、加密演算法和身份驗證方式,比如說LZ就必須搞清804HV預設的這些引數
ike proposal 1
authentication-algorithm md5
encryption-algorithm des-cbc
authentication-method pre-share
#配置IKE對等體,設定協商模式為野蠻,預共享金鑰為明文密碼,ID型別為名稱,對端裝置的名稱。NAT穿越也在此處配置。注意:只有野蠻模式下ID型別才能設為名稱
ike peer 1
exchange-mode aggressive
pre-shared-key simple 123456
id-type name
remote-name fenbu
#配置IPSEC安全提議,注意此處的引數兩端裝置同樣要相同,分別是安全協議、esp驗證演算法、esp加密演算法、ipsec報文的封裝模式
ipsec proposal 1
transform esp
esp authentication-algorithm md5
esp encryption-algorithm des
encapsulation-mode tunnel
#配置ipsec安全策略,引用acl、IKE PEER、安全提議
ipsec policy p1 1 isakmp
security acl 3002
ike-peer 1
proposal 1
#
interface Ethernet0/0
port link-mode route
ip address x.x.x.x 255.255.255.0
ipsec policy p1
#
interface Ethernet0/1
port link-mode route
ip address 192.168.5.1 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 x.x.x.y
在兩端裝置相同的情況下,很多引數可以省略,因為相同廠家的裝置預設引數是相同的;如果兩端裝置廠家不一樣,就需要搞清預設的具體引數,引數不同極有可能導致vpn隧道協商不起來。
MSR2020除了做VPN功能外,極有可能需要做NAT,那麼在NAT轉換的過程中,NAT引用的ACL需要把ipsec報文給踢出去,所以NAT引用的acl第一條:rule deny ip source 192.168.5.0 0.0.0.255 destination 192.168.0.0 0.0.0.255一定要做;或者在介面下配置:ipsec no-nat-process,這2個效果是一樣的。
總之,不同廠家的裝置對聯很麻煩,如果條件允許LZ還是買成一樣的吧,那樣配置起來也比較方便,出了問題也好排查。
MSR2020的配置:
#IKE本端名稱
ike local-name center
#ipsec policy要引用的ACL
acl number 3002
rule 5 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 15 deny ip
#配置IKE安全提議,如果兩端裝置型號相同可以採用預設值;若兩端裝置不同必須搞清楚裝置所採用的驗證演算法、加密演算法和身份驗證方式,比如說LZ就必須搞清804HV預設的這些引數
ike proposal 1
authentication-algorithm md5
encryption-algorithm des-cbc
authentication-method pre-share
#配置IKE對等體,設定協商模式為野蠻,預共享金鑰為明文密碼,ID型別為名稱,對端裝置的名稱。NAT穿越也在此處配置。注意:只有野蠻模式下ID型別才能設為名稱
ike peer 1
exchange-mode aggressive
pre-shared-key simple 123456
id-type name
remote-name fenbu
#配置IPSEC安全提議,注意此處的引數兩端裝置同樣要相同,分別是安全協議、esp驗證演算法、esp加密演算法、ipsec報文的封裝模式
ipsec proposal 1
transform esp
esp authentication-algorithm md5
esp encryption-algorithm des
encapsulation-mode tunnel
#配置ipsec安全策略,引用acl、IKE PEER、安全提議
ipsec policy p1 1 isakmp
security acl 3002
ike-peer 1
proposal 1
#
interface Ethernet0/0
port link-mode route
ip address x.x.x.x 255.255.255.0
ipsec policy p1
#
interface Ethernet0/1
port link-mode route
ip address 192.168.5.1 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 x.x.x.y
在兩端裝置相同的情況下,很多引數可以省略,因為相同廠家的裝置預設引數是相同的;如果兩端裝置廠家不一樣,就需要搞清預設的具體引數,引數不同極有可能導致vpn隧道協商不起來。
MSR2020除了做VPN功能外,極有可能需要做NAT,那麼在NAT轉換的過程中,NAT引用的ACL需要把ipsec報文給踢出去,所以NAT引用的acl第一條:rule deny ip source 192.168.5.0 0.0.0.255 destination 192.168.0.0 0.0.0.255一定要做;或者在介面下配置:ipsec no-nat-process,這2個效果是一樣的。
總之,不同廠家的裝置對聯很麻煩,如果條件允許LZ還是買成一樣的吧,那樣配置起來也比較方便,出了問題也好排查。
相關文章
- H3C和CISCO裝置之間的ipsec vpn 配置例項
- 艾泰HiPER2620和H3C裝置建立IPSEC VPN
- IPSEC VPN 與 SSL VPN 兩種VPN 風險比較
- IPSec VPN安全應用系統
- 解析天翼雲IPsec VPN和SSL VPN的區別
- 記IPSec VPN對接故障的排查
- CentOS快速搭建IPsec/L2TP VPNCentOS
- IPsec_VPN實現技術【轉載】
- IPsec在企業網中的應用!(vpn)
- VPN隧道協議-GRE、L2TP、IPSEC協議
- 基於Linux和IPSec的VPN閘道器Linux
- OpenVPN安裝配置
- SonicWALL Global VPN客戶端連線出現Failed to open the IPSec driver錯誤客戶端AI
- Cisco路由器VPN配置路由器
- 詳細介紹PPTP、L2TP、IPSec、OpenVPN和SSTP的區別pptp
- H3C交換機配置命令大全
- IPSEC VPN閘道器構建高安全性的資料採集系統
- 配置h3c裝置ssh登入
- 使用H3C的辦公室路由器和IDC的防火牆建立IPSecVPN路由器防火牆
- SANGFOR NGAF與H3C SecPath系列(V7)防火牆第三方IPsec對接防火牆
- 【安全系列】IPSECVPN配置例項
- Debian/Ubuntu下L2TP VPN配置Ubuntu
- IPsec知識
- 思科與H3C配置命令對比 靜態路由&OSPF路由
- HUAWEI防火牆同一例項場景下配置IPSec隧道防火牆
- Centos7安裝與配置OpenVPN伺服器CentOS伺服器
- IPSec組播概要
- 利用Ipsec禁用QQ
- 講解VPN配置中關於虛擬站點屬性
- H3C交換機IPv6無狀態地址自動配置
- IPSEC隧道抓包分析
- 安全技術|利用OpenVpn配置檔案反制的武器化探索
- centos5.5Linux安裝配置vpn伺服器總結CentOSLinux伺服器
- MPLS VPN技術概述-VeCloudMPLS VPN技術概述-VeCloudCloud
- Linux對ipsec的支援Linux
- IPSec應用方案設計
- 《Cisco/H3C交換機高階配置與管理技術手冊》目錄
- 在 Ubuntu 15.04 上配置 OpenVPN 伺服器和客戶端Ubuntu伺服器客戶端