H3C IPSec配置手记

最新推荐文章于 2024-01-29 14:01:58 发布
最新推荐文章于 2024-01-29 14:01:58 发布
阅读量3.6k 收藏 17
点赞数 2
分类专栏: 网络 文章标签: java 服务器 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cthomson/article/details/127004040
版权

实验拓扑:

设备型号:H3C MSR36-20

接口地址:ipsec1 g0/0,1.1.1.1

                  ipsec2 g0/0,1.1.1.2

IPSec1内部地址:172.16.168.0/24

IPSec2内部地址:192.168.168.0/24

目的:建立IPSec隧道,使172网段和192网段互通

(1)配置IPSec1

# 配置高级ACL,定义要保护由子网172.16.168.0/24去往子网192.168.168.0/24的数据流。

<RouterA> system-view

[RouterA] acl advanced 3001

[RouterA-acl-ipv4-adv-3001] rule permit ip source 172.16.168.0 0.0.0.255 destination 192.168.168.0 0.0.0.255

# 配置到达IPSec2所在子网的静态路由。

[RouterA] ip route-static 192.168.168.0 255.255.255.0 1.1.1.2

# 创建IPsec安全提议tran1。

[RouterA] ipsec transform-set tran1

# 配置安全协议对IP报文的封装形式为隧道模式。

[RouterA-ipsec-transform-set-tran1] encapsulation-mode tunnel

# 配置采用的安全协议为ESP。

[RouterA-ipsec-transform-set-tran1] protocol esp

# 配置ESP协议采用的加密算法为128比特的AES,认证算法为HMAC-SHA1。

[RouterA-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128

[RouterA-ipsec-transform-set-tran1] esp authentication-algorithm sha1

# 创建并配置IKE keychain,名称为key1。

[RouterA] ike keychain key1

# 配置与IP地址为1.1.1.2的对端使用的预共享密钥为明文ipsectest

[RouterA-ike-keychain-keychain1] pre-shared-key address 1.1.1.2 255.255.255.0 key simple ipsectest

# 创建并配置IKE profile,名称为pro1

[RouterA] ike profile pro1

[RouterA-ike-profile-profile1] keychain key1

[RouterA-ike-profile-profile1] match remote identity address 1.1.1.2 255.255.255.0

# 创建一条IKE协商方式的IPsec安全策略,名称为map1,序列号为10。

[RouterA] ipsec policy map1 10 isakmp

# 指定引用ACL 3001。

[RouterA-ipsec-policy-isakmp-map1-10] security acl 3001

# 指定引用的安全提议为tran1。

[RouterA-ipsec-policy-isakmp-map1-10] transform-set tran1

# 指定IPsec隧道的本端IP地址为1.1.1.1,对端IP地址为1.1.1.2

[RouterA-ipsec-policy-isakmp-map1-10] local-address 1.1.1.1

[RouterA-ipsec-policy-isakmp-map1-10] remote-address 1.1.1.2

# 指定引用的IKE profile为pro1。

[RouterA-ipsec-policy-isakmp-map1-10] ike-profile pro1

# 在接口GigabitEthernet0/0上应用安全策略map1。

[RouterA] interface gigabitethernet 0/0

[RouterA-GigabitEthernet2/0/2] ip address 1.1.1.1 255.255.255.0

[RouterA-GigabitEthernet2/0/2] ipsec apply policy map1

(2) 配置Router B

# 配置一个IPv4高级ACL,定义要保护由子网192.168.168.0/24去往子网172.16.168.0/24的数据流。

<RouterB> system-view

[RouterB] acl advanced 3001

[RouterB-acl-ipv4-adv-3001] rule permit ip source 192.168.168.0 0.0.0.255 destination 172.16.168.0 0.0.0.255

# 配置到达Host A所在子网的静态路由。

[RouterB] ip route-static 172.16.168.0 255.255.255.0 1.1.1.1

# 创建IPsec安全提议tran1。

[RouterB] ipsec transform-set tran1

# 配置安全协议对IP报文的封装形式为隧道模式。

[RouterB-ipsec-transform-set-tran1] encapsulation-mode tunnel

# 配置采用的安全协议为ESP。

[RouterB-ipsec-transform-set-tran1] protocol esp

# 配置ESP协议采用的加密算法为128比特的AES,认证算法为HMAC-SHA1。

[RouterB-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128

[RouterB-ipsec-transform-set-tran1] esp authentication-algorithm sha1

# 创建并配置IKE keychain,名称为key1

[RouterB] ike keychain key1

[RouterB-ike-keychain-keychain1] pre-shared-key address 1.1.1.1 255.255.255.0 key simple ipsectest
# 创建并配置IKE profile, 名称为pro1

[RouterB] ike profile pro1

[RouterB-ike-profile-profile1] keychain key1

[RouterB-ike-profile-profile1] match remote identity address 1.1.1.1 255.255.255.0

# 创建一条IKE协商方式的安全策略,名称为map1,序列号为10。

[RouterB] ipsec policy map1 10 isakmp

# 指定引用ACL 3001。

[RouterB-ipsec-policy-isakmp-use1-10] security acl 3001

# 指定引用的IPsec安全提议为tran1。

[RouterB-ipsec-policy-isakmp-use1-10] transform-set tran1

[RouterB-ipsec-policy-isakmp-use1-10] local-address 1.1.1.2

[RouterB-ipsec-policy-isakmp-use1-10] remote-address 1.1.1.1

# 指定引用的IKE对等体为pro1。

[RouterB-ipsec-policy-isakmp-use1-10] ike-profile pro1
# 在接口GigabitEthernet0/0上应用IPsec安全策略map1

[RouterB] interface gigabitethernet 2/0/2

[RouterB-GigabitEthernet2/0/2] ip address 1.1.12 255.255.255.0

[RouterB-GigabitEthernet2/0/2] ipsec apply policy map1

验证配置

以上配置完成后,ipsec1和ipsec2之间如果有子网172.16.168.0/24与子网192.168.168.0/24之间的报文通过,将触发IKE进行IPsec SA的协商。IKE成功协商出IPsec SA后,子网172.16.168.0/24与子网192.168.168.0/24之间数据流的传输将受到IPsec SA的保护。可通过以下显示查看到协商生成的IPsec SA。

 

MuYiZi2018
关注
  • 2
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
H3C+IPsec+NAT穿越配置举例
12-17
H3C+IPsec+NAT穿越配置举例
H3C_IPSec(主模式)及NAT转换综合配置案例
zsisle的博客
10-26 1431
本案例将以IPSec的主模式来演示出口路由如何配置IPSec来达到内网互通以及NAT转换来访问外网。
H3C IPSec配置实例
weixin_33872660的博客
06-12 5692
配置步骤: 一、.使得R1与R3之间(公网之间)能够通信 [R1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 [R3]ip route-static 0.0.0.0 0.0.0.0 23.1.1.2 二、IPSEC配置 R1配置: 1.配置感兴趣的数据流 [R1]acl num 3...
华三防火墙配置IPSec隧道
a2317077531的博客
06-30 9056
1.网络拓扑 2.配置思路 1.配置各接口IP地址,将接口加入对应区域 2.ISP运行ospf,引入直连路由 3.配置防火墙策略,及路由 4.配置IPSec VPN 5.验证VPN互通 1.FW1配置接口IP及加入到相关区域 interface GigabitEthernet1/0/20(wan-ip) ip address 192.168.13.1 255.255.255.0 interface LoopBack 0(测试内网IP) ip address 192.168.11.1 255.255.25
H3C MPLS IPSEC+WAAM配置案例(本文转载自:http://www.91ccie.com
weixin_33857230的博客
10-08 629
WAAM配置举例 3.1 组网需求 本典型配置案例简化组网如下: 图 1 MPLS+IPSEC+WAAM组网图 这里的PC1可以理解为分支的设备,PC2可以理解为总部的设备,分支和总部之间的 网络使用MPLS L3×××,RTA和RTB为CE设备,且分支和总部之间的数据流使用 IPSec ×××进行保护。该方案用于实现我公司...
H3C 路由器的IPSEC ××× 配置
weixin_34209851的博客
03-26 545
H3C路由器的ipsec配置 两地做***的连接,一端是H3C的utm200设备,另外一端是H3C的AR18-21设备.现在网络环境如下: beijing是静态的地址(存在192.168.0.1、192.168.1.1和192.168.2.1网段),而...
H3C配置IPSEC ×××
weixin_34080903的博客
09-23 234
H3C配置IPSEC ×××思路跟思科差不多,无非就是命令不一样的,下面就演示一下拓扑:RT1背后有个1.1.1.1网段,RT3背后有个3.3.3.3网段,ISP没有这两条路由RT2:<RT2>system-view System View: return to User View with Ctrl+Z.[RT2]int g0/0/0[RT2-GigabitEt...
H3C配置IPSec(与华为的ipsec对比说明)主模式
weixin_45123715的博客
11-10 1624
拓扑图: AR1: AR3: AR1搭建IPSec隧道: AR3搭建IPSec隧道:
华三路由器ER3260 ipsec配置
ye_hua的博客
08-11 1524
路由器ipsec vpn 配置笔记
H3C路由器与防火墙建立IPSEC
Rzcarmen的博客
10-11 1063
需要与路由器一端配置一致。需要与路由器一端配置一致。
H3C-s7503e-s的配置实例
12-26
H3C-s7503e-s的配置实例
H3C V7 ipsec主:野蛮模式配置脚本.pdf
08-30
H3C V7 ipsec主:野蛮模式配置脚本.pdf
H3C-V7-ipsec配置.docx
08-31
H3C IPsec 配置指导V7版本,适用H3C网关路由器(MSR、SR系列V7版本)、下一代防火墙设备
H3C 安全产品典型配置案例汇总集.rar
09-21
H3C NGFW设备支持IPsec VRF Aware特性配置举例 H3C SSL VPN VPE方案典型配置案例 H3C SecBlade 防火墙主备二层跨VLAN转发典型配置案例 H3C SecPath F5000软件包兼容性issu升级配置案例 H3C SecPath M9000软件包...
GRE over ipsec cisco H3C
04-27
H3C cisco ipsec gre。不同设备GRE over ipsec。不同设备上。
H3C各型号路由器L2TP配置汇总.rar
10-21
11 Comware V7平台FW与移动终端对接L2TP over IPSec配置案例 12 L2TP 客户端获取固定ip地址方法 13 MSR与Android、IOS移动终端建立L2TP over IPSec VPN典型配置案例 14 L2TP 拨号成功后,如何实现同时能够访问...
华三IPSEC配置模板
weixin_33972649的博客
03-02 1817
点到多点 总部:ipsec transform-set zongbuesp encryption-algorithm des-cbcesp authentication-algorithm md5#ipsec policy-template zongbu 1transform-set zongbusecurity acl 3000ike-profile zongbu#ipsec policy...
H3C MSR系列路由器IPSEC Over GRE功能的配置
weixin_34234829的博客
07-22 581
一、组网需求: RTA和RTB之间建立GRE隧道,RTA和RTB下挂网段间流量走GRE,在GRE中对流量进行加密 设备清单:MSR系列路由器2台 二、组网图: 二、配置步骤: 适用设备和版本:MSR系列、Version5.20,Beta1105后所有版本。 RTA配置 # //定义IKE提议,使用IKE必配 ikepro...
华三ipsec 配置分析、举例
最新发布
undoshutdown的博客
01-29 1230
ipsec apply policy policy1 //在设备wan口引用ipsec 策略 policy1。ipsec policy policy1 1 isakmp //新建ipsec 策略 policy1 序号1。ipsec policy policy1 1 isakmp //新建ipsec 策略 policy1 序号1。
h3c ipsec 配置
06-06
以下是基本的H3C IPSec配置步骤: 1. 配置IKE策略 [H3C] ike proposal 1 [H3C-ike-proposal-1] encryption-algorithm aes [H3C-ike-proposal-1] authentication-algorithm sha2 [H3C-ike-proposal-1] dh group14 [H3C-ike-proposal-1] sa duration 28800 [H3C-ike-proposal-1] quit 2. 配置IPSec策略 [H3C] ipsec proposal 1 [H3C-ipsec-proposal-1] esp authentication-algorithm sha2 [H3C-ipsec-proposal-1] esp encryption-algorithm aes [H3C-ipsec-proposal-1] sa duration 28800 [H3C-ipsec-proposal-1] quit 3. 设置IKE策略和IPSec策略的预共享密钥 [H3C] ike peer VPN-Peer1 1.1.1.1 [H3C-ike-peer-VPN-Peer1] pre-shared-key simple password [H3C-ike-peer-VPN-Peer1] ike proposal 1 [H3C-ike-peer-VPN-Peer1] quit [H3C] ipsec proposal 1 [H3C-ipsec-proposal-1] transform esp [H3C-ipsec-proposal-1] quit 4. 配置IPSec VPN [H3C] ipsec policy VPN-Policy1 isakmp [H3C-ipsec-isakmp-VPN-Policy1] ike-peer VPN-Peer1 [H3C-ipsec-isakmp-VPN-Policy1] proposal 1 [H3C-ipsec-isakmp-VPN-Policy1] quit [H3C] ipsec policy VPN-Policy1 security acl 3001 [H3C-ipsec-acl-3001-VPN-Policy1] quit [H3C] interface GigabitEthernet0/0/1 [H3C-GigabitEthernet0/0/1] ip address 10.1.1.1 255.255.255.0 [H3C-GigabitEthernet0/0/1] quit [H3C] acl number 3001 [H3C-acl-basic-3001] rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 [H3C-acl-basic-3001] quit 以上是基本的H3C IPSec配置步骤,需要根据具体的场景和需求进行调整和修改。建议在实际配置前,先仔细阅读官方文档和相关资料,确保理解和掌握相关知识。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MuYiZi2018

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值