10个步骤上车H3C GRE OVER IPSec VPN配置

置顶 已于 2024-06-25 17:37:21 修改
阅读量1k 收藏 18
点赞数 14
分类专栏: HCL模拟器 中小型局域网 IPSec VPN 文章标签: 智能路由器 网络
于 2024-06-25 17:35:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xupeng5200/article/details/139964606
版权

需求:

通过配置A、B两台路由器的GRE over IPSec,实现两地内网网段互通。

说明:

1、所有设备使用默认HCL模拟器配置。
2、使用的是路由器做的。
3、类型是Gre over IPSec。
4、以上只介绍了A路由器的Gre over IPSec主体配置,B设备与A相同写法,acl和ike、IPSec policy里面的IP地址反过来写就行。
5、必须确保A、B两端的内网PC可以ping通“ISP”设备左右两个接口的IP,也就是两端内网PC可以“正常上网”(必要前提)。

拓扑:

实验步骤(可跟做):

1、配置Gre隧道
interface Tunnel10 mode gre
ip address 5.5.5.5 255.255.255.0
source 1.1.1.1
destination 2.2.2.1

2、配置一个访问控制列表3000,定义由子网1.1.1.0/24去子网2.2.2.0/24的数据流,封装GRE数据流。
acl advanced 3000
rule 0 permit ip source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255

3、配置公网口NAT要关联的ACl3001,作用是把IPSec感兴趣流从NAT转换的数据流deny掉,防止IPSec数据流被NAT优先转换。
acl advanced 3001
rule 0 deny ip source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255
rule 1 permit ip

4、创建一条IKE提议1,指定IKE提议使用的认证算法、加密算法。
ike proposal 1
encryption-algorithm 3des-cbc
authentication-algorithm md5

5、创建并配置IKE keychain,名称为RTA,配置对端IP地址为2.2.2.1,配置预共享密钥。
ike keychain RTA
pre-shared-key address 2.2.2.1 255.255.255.0 key cipher $c33xHsrm5lw7KJa0ahmRrPr0olZWVXYyhhO7Aa/

6、创建并配置IKEprofile,名称为RTA,引用上面配置的keychainRTA,配置本地地址为本端的公网接口地址1.1.1.1,对端地址为对端公网接口地址2.2.2.1,调用之前配置IKE提议1
ike profile RTA
keychain RTA
local-identity address 1.1.1.1
match remote identity address 2.2.2.1 255.255.255.0
proposal 1

7、配置IPsec安全提议1,指定ESP协议采用的加密算法、认证算法类型。
ipsec transform-set 1
esp encryption-algorithm 3des-cbc
esp authentication-algorithm md5

8、创建IPsec安全策略,名称为RTA,序列号为1,设置对端地址为对端公网地址2.2.2.1,引用之前创建的ACL3000,引用之前创建的IKE profile RTA,引用之前的IPSec安全提议1
ipsec policy RTA 1 isakmp
transform-set 1
security acl 3000
remote-address 2.2.2.1
ike-profile RTA

9、设置外网口做NAT转换的时候关联ACL 3001,并将IPSec安全策略RTA应用在外网接口
interface GigabitEthernet0/0
port link-mode route
combo enable copper
ip address 1.1.1.1 255.255.255.0
nat outbound 3001
ipsec apply policy RTA

10、配置到对端内网的路由,下一跳抛给Gre隧道。
ip route-static 172.16.20.0 24 Tunnel10 description ipSec to B-lan

测试结果:

A、B两地局点内网网段成功互通。

题外话:HCL模拟器更新到现在任然有些许bug,比如配置dhcp或者路由、PC配置IP地址或者dhcp获取IP,往往不重启HCL里面的虚拟设备,是不生效的,有时候往往需要关闭再重开两道三次,才能正常up端口,或者让pc使用dhcp获取IP,不过好在还可以忍受。。。因为重启虚拟设备花不了很多时间。

VEGETAGO
关注
  • 14
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【HCL】ipsec over gre配置
weixin_48243271的博客
08-08 975
HCL中,ipsec over gre配置过程。
Cisco路由器配置GRE over IPsec
weixin_34248849的博客
08-13 1214
拓扑图实验目的:通过CRE over IPsec的方式实现R1网段:172.16.10.0/24和R2网段:172.17.10.0/24通信加密。由于IPsec ×××不支持组播,而GRE支持多种协议,所以一般情况下会选择GRE over IPsec配置思路:通过ACL设置感兴趣流配置IKE第一阶段配置IKE第二阶段新建MAP,并应用于接口设置路由,下一跳为tunnel 0...
H3C GRE OVER IPSEC配置
weixin_34101229的博客
12-01 1125
网络拓扑如下 1、公司A端路由器配置 # //定义需要保护的安全数据流 acl number 3000 rule 10 permit ip source12.12.12.10destination23.23.23.3 0 # //定义IKE对等体 ike peer to_rtb //使用预设口令身份验...
GRE over ipsec cisco H3C
04-27
H3C cisco ipsec gre。不同设备GRE over ipsec。不同设备上。
H3C GRE over ipsec配置
qq_23930765的博客
11-13 2817
多分支接入的情况下,如果设备支持点到多点GRE隧道,则总部只需要配置一个GRE Tunnle,但是设备不支持此特性的话,只能在总部为每个分支建立一个GRE Tunnle。三:这种方式下的IPSEC,后续网段变动时,只需要配置不同的静态路由指向GRE Tunnle口,IPsec配置无需改变,适合私网地址较大的拓扑。一:注意loopback口的建立,和GRE封装时的源目地址保持一致,而不是GRE Tunnle的ip地址。以及IPsec的安全ACL匹配的是GRE封装之后的源目地址。
gre over ipsec_[H3C]IPSec
weixin_39562928的博客
11-29 223
一:GRE-over-IPSec:【DeviceA】1.配置IP地址2.GRE[DeviceA] interface tunnel 0 mode gre[DeviceA-Tunnel0] ip address 10.1.1.1 255.255.255.0[DeviceA-Tunnel0] source 202.115.22.48[DeviceA-Tunnel0] destination ...
H3C GRE over IPsec实验
呦菜呦爱玩的博客
07-25 3543
组网需求 1. 某企业总部、分支1、分支2分别通过 R1,R3,R4 接入互联网,配置默认路由连通公网 2. 按照图示配置 IP 地址,R1,R3,R4 分别配置 Loopback0 口匹配感兴趣流,Loopback1 口模拟业务网段 3. 总部拥有固定公网地址,在 R2 上配置 DHCP,对 R3 和 R4 动态分配 IP 地址,IP 地址网段如图 4. 总部、分支1、分支2配置 GRE over IPsec VPN 连通内网,要求总部使用模板来简化配置 5. 总部和分支之间配置 RIPv2 传递内网路由
【华三】GRE Over IPsec 实验配置
最新发布
2301_77161465的博客
02-05 1842
GRE over IPSec可利用GRE和IPSec的优势,通过GRE将组播、广播和非IP报文封装成普通的IP报文通过IPSec为封装后的IP报文提供安全地通信,进而可以提供在总部和分支之间安全地传送广播、组播的业务,例如动态路由协议消息等。就是将GRE的优点和IPsec的优点相结合因为GRE能够传输组播、广播等数据,但对数据的传输是不进行加密的,在不安全的公网上面相当于裸奔啦。而咱们的IPsec 是可以对数据进行加密和认证的,但是不支持传输组播、广播等数据,就是会有一些弊端。
Vyos IPsec Server 对接 Huawei 路由器 IPsec Client(GRE Over IPsec
taylorgogo
06-02 420
Vyos Static IP IPSec Server Huawei Dynamic IP IPSec Client配置模板
H3C网络安全 案例手册 (66个案例).rar
08-23
SecPath防火墙 GRE VPN典型组网配置pd SecPath防火墙 Ip-sweep和 port-scan攻击防范动态加入黑名单的典型组网pdf Secpath防火墙 nat statIc的典型配置pdf SecPath防火墙Nat进制日志功能的典型配置pdf SecPath防火墙 ...
H3C路由器两种ipsec-gre配置总结.pdf
10-30
H3C路由器两种ipsec-gre配置总结.pdf
H3C Cisco IPSec 对接
weixin_43981915的博客
10-10 798
H3C Cisco IPSec 对接 华3配置 <RouterA> system-view [RouterA] acl advanced 3101 [RouterA-acl-ipv4-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 [RouterA-acl-ipv4-a...
【HUAWEI&H3C】对比华为和华三的IPSec配置
u012468770的博客
12-31 5060
有关IPSec VPN的原理,这里就不展开了,我们直接上图上配置 一、固定IP,主模式VPN配置 华为: # ike proposal 1 encryption-algorithm aes-cbc-128 authentication-algorithm aes-xcbc-mac-96 # ike peer 1 v2 pre-shared-key cipher 12345@huaw...
H3C SecPath防火墙GRE+IPSEC+OSPF典型配置举例
weixin_34409357的博客
02-01 880
此方案能够解决分支机构的IP地址是通过ISP动态获取,而且Secpath网关互相备份,同时在GRE封装上实现ipsec加密等多个需求。1. 组网需求分支机构的用户访问公司总部过程如下:分支机构的用户上网方式没有限制,拨号或者固定IP上网。分支机构的网关设备接口地址是动态获取的公司总部有两台SecPath,两台SecPath互相备份公司总部与分支机构之间的数据连接要求IPSEC...
GRE over IPSec配置(DCR--H3C
aphero的专栏
12-13 2409
ipsec gre
华三(H3C)GRE OVER IPsec实验
h320758724的博客
04-27 3755
实验需求 1. 某企业北京总部、上海分支、武汉分支分别通过 R1,R3,R4 接入互联网,配置默认路由连通公网 2. 按照图示配置 IP 地址,R1,R3,R4 分别配置 Loopback0 口匹配感兴趣流,Loopback1 口模拟业务网段 3. 北京总部拥有固定公网地址,在 R2 上配置 DHCP,对 R3 和 R4 动态分配 IP 地址,IP 地址网段如图 4. 北京总部、上海分支、武汉分支配置 GRE over IPsec VPN 连通内网,要求北京总部使用模板来简化配置 5. 总部和分支
H3C GRE over IPSec
weixin_34190136的博客
05-25 244
实验TOP: RTA的配置: RTB的配置: 可见其配置与单独的GRE隧道或单独的IPSec隧道相比并无特殊之处,只要在配置安全ACL时匹配隧道所使用的物理接口的公网地址192.13.2.1与132.108.5.2之间的数据流,将其纳入IPSec保护即可。 转载于:https://blog.51cto.com/kalng/8778...
华三“GRE over IPsec”命令配置模板
qq_42723546的博客
07-18 3696
GRE在里,IPsec在外。IPsec不支持组播,GRE支持。所以用GRE去封装路由协议。 总部:(多个分部时,使用模板) ike local-name zongbu ike peer fenbu  exchange-mode aggressive                            //野蛮模式  pre-shared-key simple h3c  id-type name...
华为路由器H3C路由器之间配置GRE OVER IPSEC
07-14
在华为路由器H3C路由器之间配置GRE over IPsec(IP安全隧道协议)可以实现安全的跨网段通信。下面是一个简单的配置示例: 在华为路由器上的配置步骤: 1. 创建GRE隧道接口,并指定本地和远程IP地址: ``` interface Tunnel 0 ip address 192.168.1.1 255.255.255.0 tunnel-protocol gre source GigabitEthernet 0/0/0 destination 10.0.0.1 ``` 2. 创建IPsec策略,并指定加密算法、密钥等参数: ``` ipsec proposal myproposal esp authentication-algorithm md5 esp encryption-algorithm des ipsec policy mypolicy 10 isakmp security acl 3001 proposal myproposal acl number 3001 rule 5 permit gre source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 ike proposal myproposal authentication-method pre-share encryption-algorithm des integrity-algorithm md5 sa duration time-based 28800 ike-peer 10.0.0.1 pre-shared-key cipher %^%#zjhuawei%^%# ike-proposal myproposal ``` 在H3C路由器上的配置步骤: 1. 创建GRE隧道接口,并指定本地和远程IP地址: ``` interface Tunnel 0 ip address 192.168.1.2 255.255.255.0 tunnel-protocol gre source GigabitEthernet 0/0/0 destination 10.0.0.2 ``` 2. 创建IPsec策略,并指定加密算法、密钥等参数: ``` ipsec proposal myproposal esp authentication-algorithm md5 esp encryption-algorithm des ipsec policy mypolicy 10 isakmp security acl 3001 proposal myproposal acl number 3001 rule 5 permit gre source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 ike proposal myproposal authentication-method pre-share encryption-algorithm des integrity-algorithm md5 sa duration time-based 28800 ike-peer 10.0.0.2 pre-shared-key cipher %^%#h3c%^%# ike-proposal myproposal ``` 以上配置示例中,需要根据实际情况替换IP地址、接口名称、加密算法、密钥等参数。配置完成后,华为路由器H3C路由器之间的GRE over IPsec隧道将建立起来,可以实现跨网络的安全通信。请注意,这只是一个简单的示例,实际配置可能会有所不同,取决于具体的设备型号和操作系统版本。建议参考设备的官方文档或咨询厂商获取更详细的配置指南。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值