版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
东用科技路由器与H3CRouter构建IPSecVPN配置指导手册一、H3CRouter配置:<H3CRouter>system-view//进入配置模式[H3CRouter]local-useradmin//添加本地用户[H3CRouter-luser-cisco]passwordsimpleadmin//为添加的用户设置密码[H3CRouter-luser-cisco]service-typeweb//开启网页配置功能[H3CRouter-luser-cisco]quit[H3CRouter]EthernetinterfaceEthernet0/0//进入接口配置模式[H3CRouter-Ethernet0/0]ipaddress123.15.36.140255.255.255.128//配置外网接口地址[H3CRouter-Ethernet0/0]quit//退出接口配置模式[H3CRouter-Ethernet0/1]ipaddress172.18.253.1255.255.255.0//配置内外接口地址[H3CRouter-Ethernet0/0]quit//退出接口配置模式[H3CRouter]iproute-static0.0.0.00.0.0.0123.15.36.129//配置静态路由[H3CRouter]aclnumber3000//创建访问控制列表[H3CRouter-acl-3000]rule5permitipsource172.18.253.00.0.0.255//允许内网网段访问公网[H3CRouter-Ethernet0/0]quit//退出接口配置模式[H3CRouter]aclnumber3001//创建访问控制列表[H3CRouter-acl-3001]rule0permitipsource172.18.253.00.0.0.255destination192.168.0.00.0.255.255rule5denyip//拒绝除内网网段以为的网段访问远端子网[H3CRouter]EthernetinterfaceEthernet0/0//进入接口配置模式[H3CRouter-Ethernet0/0]natoutbound3000//在外网接口上启用ACL3000[H3CRouter-Ethernet0/0]quit//退出接口配置模式[H3CRouter]ikeproposal1//创建IKE提议,并进入IKE提议视图[H3CRouter]ikepeerfenzhi//创建一个IKE对等体,并进入IKE-Peer视图[H3CRouter-ike-peer-fenzhi]exchange-modeaggressive//配置IKE第一阶段的协商为野蛮模式[H3CRouter-ike-peer-fenzhi]proposal1//配置IKE对等体引用的IKE安全提议[H3CRouter-ike-peer-fenzhi]pre-shared-keysimpleabc123//配置采用预共享密钥认证时,所使用的预共享密钥[H3CRouter-ike-peer-fenzhi]id-typename//选择IKE第一阶段的协商过程中使用ID的类型[H3CRouter-ike-peer-fenzhi]remote-namefenzhi//配置对端安全网关的名字[H3CRouter-ike-peer-fenzhi]remote-addressfenzhidynamic//配置对端安全网关的IP地址[H3CRouter-ike-peer-fenzhi]local-address123.15.36.140//配置本端安全网关的IP地址H3CRouter-ike-peer-fenzhi]local-namecenter//配置本端安全网关的名字[H3CRouter-ike-peer-fenzhi]nattraversal//配置IKE/IPsec的NAT穿越功能[H3CRouter-ike-peer-fenzhi]quit[H3CRouter]ipsectransform-setfenzhi//配置IPsec安全提议fenzhi[H3CRouter-ipsec-transform-set-tran1]encapsulation-modetunnel//报文封装形式采用隧道模式[H3CRouter-ipsec-transform-set-tran1]transformesp//
安全协议采用ESP协议[H3CRouter-ipsec-transform-set-tran1]espencryption-algorithm3des//选择ESP协议采用的加密算法[H3CRouter-ipsec-transform-set-tran1]espauthentication-algorithmmd5//选择ESP协议采用的认证算法[H3CRouter-ipsec-transform-set-tran1]quit[H3CRouter]ipsecpolicy9830401isakmp//创建一条IPsec安全策略,协商方式为isakmp[H3CRouter-ipsec-policy-isakmp-use1-10]securityacl3001//引用访问控制列表3001[H3CRouter-ipsec-policy-isakmp-use1-10]transform-setfenzhi//引用IPsec安全提议[H3CRouter-ipsec-policy-isakmp-use1-10]ike-peerfenzhi//
引用IKE对等体[H3CRouter-ipsec-policy-isakmp-use1-10]quit[H3CRouter]interfaceethernet0/0//进入外部接口[H3CRouter-Ethernet0/1]ipsecpolicy983040//在外部接口上应用IPsec安全策略组验证配置结果[H3CRouter]displayikeproposal
priorityauthenticationauthenticationencryptionDiffie-Hellmanduration
method
algorithm
algorithm
group
(seconds)---------------------------------------------------------------------------
10
PRE_SHARED
MD5
DES_CBC
MODP_768
5000
default
PRE_SHARED
SHA
DES_CBC
MODP_768
86400[H3CRouter]displayikeproposal
priorityauthenticationauthenticationencryptionDiffie-Hellmanduration
method
algorithm
algorithm
group
(seconds)---------------------------------------------------------------------------
default
PRE_SHARED
SHA
DES_CBC
MODP_768
86400可通过如下显示信息查看到IKE协商成功后生成的两个阶段的SA。[H3CRouter]displayikesa
totalphase-1SAs:
1
connection-id
peer
flag
phase
doi
----------------------------------------------------------
1
219.140.142.211
RD|ST
1
IPSEC
2
219.140.142.211
RD|ST
2
IPSEC
flagmeaning
RD--READYST--STAYALIVERL--REPLACEDFD--FADINGTO—TIMEOUTRK-REKEYIKE第二阶段协商生成的IPsecSA用于保护子网10.1.1.0/24与子网10.1.2.0/24之间的数据流,可通过如下显示信息查看。[H3CRouter]displayipsecsa===============================Interface:Ethernet0/1
pathMTU:1500===============================
-----------------------------
IPsecpolicyname:"map1"
sequencenumber:10
aclversion:ACL4
mode:isakmp
-----------------------------
PFS:N,DHgroup:none
tunnel:
local
address:123.15.36.140
remoteaddress:219.140.142.211
flow:
souraddr:172.18.253.0/255.255.255.0
port:0
protocol:IP
destaddr:192.168.2.0/255.255.255.0
port:0
protocol:IP
[inboundESPSAs]
spi:0x3D6D3A62(1030568546)
transform:ESP-ENCRYPT-DESESP-AUTH-SHA1
inusesetting:Tunnel
connectionid:1
saduration(kilobytes/sec):1843200/3600
saremainingduration(kilobytes/sec):1843199/3590
anti-replaydetection:Enabled
anti-replaywindowsize(counterbased):32
udpencapsulationusedfornattraversal:N
[outboundESPSAs]
spi:0x553FAAE(89389742)
transform:ESP-ENCRYPT-DESESP-AUTH-SHA1
inusesetting:Tunnel
connectionid:
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 外研新版七年级下册《Module 1 Lost and found Unit 3 Language in use》同步练习卷
- 新人教版九年级下册《第9章 溶液》单元测试卷
- 人教版小学三年级美术下册全册教案
- 社工站表格大全
- 哈师大、大庆铁人2023-2024学年高二下学期期末联考+物理试卷答案
- 七年级下学期语文期末考试卷-3
- 八年级下学期语文期末考试卷-2
- 2024-2030年全球及中国充电轮胎行业现状动态与未来运营态势剖析报告
- 2024二手汽车买卖合同书
- 2024-2030年全球及中国4K数字看板行业市场现状供需分析及市场深度研究发展前景及规划可行性分析研究报告
- 2024年委托投资理财协议
- 2024-2030年全球与中国跑步袜市场应用规模与未来销售渠道趋势研究报告
- 商家线下引流推广合同协议书
- lt隧道施工安全步距要求
- 人教版美术六年级上册《第3课 远去的路》说课稿6
- 2024年青海省中考英语试卷真题(含答案解析)
- 2024年越南热塑性弹性体(TPE)行业现状及前景分析2024-2030
- 2024秋八年级英语上册 Unit 3 Im more outgoing than my sister教案 (新版)人教新目标版
- CJT 511-2017 铸铁检查井盖
- 2024年吉林省中考语文真题
- 《卵圆孔未闭规范化诊疗中国专家共识2024》解读课件
评论
0/150
提交评论