CISCO和H3C的IPSEC VPN怎么做,小弟有CISCO的配置命令,求在华为中怎么配置!

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CISCO和H3C的IPSEC VPN怎么做,小弟有CISCO的配置命令,求在华为中怎么配置!相关的知识,希望对你有一定的参考价值。

crypto isakmp policy 1
encr aes
hash sha
authentication pre-share
group 2
lifetime 28800
crypto isakmp key cwcipsec address 192.168.1.1
crypto ipsec transform-set cwcipsec esp-aes esp-sha-hmac
mode transport
还要做GRE,我的IP是172.20.0.2/30,对方是172.20.0.1/30

system-view

第一步:创建acl控制列表
acl number 101
rule permit ip source 172.20.0.2 0.0.0.3 destination 172.20.0.1 0.0.0.3
rule deny ip source any destination any
quit
第二步:创建名为vpn1的安全提议
ipsec proposal vpn1
第三部:报文封装形式采用隧道模式,安全协议采用ESP
encapsulation-mode tunnel
transform esp
选择算法:
esp encryption-algorithm des
esp authentication-algorithm sha1
quit
第四步:创建一条安全策略,协商方式为manual
ipsec policy map1 10 manual
security acl 101 \\引用这个访问控制列表
proposal vpn1 \\引用安全提议
tunnel remote 172.20.0.1 \\配置对端地址
tunnel local 172.20.0.2 \\配置本地地址
第五步:配置SPI
sa spi outbound esp 12345
sa spi inbound esp 54321
第六步:配置密钥
sa string-key outbound esp abcdefg
sa string-key inbound esp gfedcba
quit
第七步:应用到接口
ipsec policy map1
纯手工给你敲的,还满意吧!
参考技术A 从网上查不出来吗 参考技术B 这个只有建议看手册了。。 参考技术C 你是要在cli下配置么?如果是新手的话建议在web页面下配置,希望对你有帮助~呵呵

IPsec VPN详解--拨号地址

三.拨号地址VPN设置

1. 组网需求

本例将 IPSec ADSL 相结合,是目前实际中广泛应用的典型案例。

1 Router B 通过ADSL 直接连接公网的DSLAM 接入端,作为PPPoE client端。RouterB ISP 动态获得的IP 地址为私网地址。

2总公司局域网通过 Router A 接入到ATM 网络。

3为了保证信息安全采用 IPSec/IKE 方式创建安全隧道。

2. 组网图

 技术分享图片                            

3.配置步骤
(1) 配置Router A

# 配置本端安全网关设备名称。

<RouterA>system-view

[RouterA]ike local-name routera

# 配置ACL

[RouterA]acl number 3101

[RouterA-acl-adv-3101]rule 0 permit ip source 172.16.0.0 0.0.0.255 destination 192.1.68.0.0 0.0.0.255    允许192.1.68.0访问172.16.0.0

[RouterA-acl-adv-3101]quit

# 配置IKE 安全提议。

[RouterA]ike proposal 1  

[RouterA-ike-proposal-1]authentication-algorithm sha 验证算法

[RouterA-ike-proposal-1]authentication-method pre-share

[RouterA-ike-proposal-1]encryption-algorithm 3des-cbc 加密算法

[RouterA-ike-proposal-1]dh group2   分配DH

# 配置IKE 对等体peer

[RouterA]ike peer peer

[RouterA-ike-peer-peer]exchange-mode aggressive //协商模式为野蛮模式

[RouterA-ike-peer-peer] pre-shared-key abc /配置预共享密钥,此密钥必须与对端保持一致

 

[RouterA-ike-peer-peer]id-type name  //协商类型为使用命名

[RouterA-ike-peer-peer]remote-name routerb  //配置对端命名

[RouterA-ike-peer-peer]nat traversal  //配置nat 穿越功能

[RouterA-ike-peer-peer]quit

# 创建IPSec 安全提议prop

[RouterA]ipsec proposal prop

[RouterA-ipsec-proposal-prop]encapsulation-mode tunnel 创建隧道模式

[RouterA-ipsec-proposal-prop]transform esp    //esp验证算法

[RouterA-ipsec-proposal-prop]esp encryption-algorithm 3des //加密算法

[RouterA-ipsec-proposal-prop]esp authentication-algorithm sha1 验证算法

[RouterA-ipsec-proposal-prop]quit

# 创建安全策略policy 并指定通过IKE 协商建立SA

[RouterA]ipsec policy policy 10 isakmp

# 配置安全策略policy 引用IKE 对等体peer

[RouterA-ipsec-policy-isakmp-policy-10]ike-peer peer

# 配置安全策略policy 引用访问控制列表3101

[RouterA-ipsec-policy-isakmp-policy-10]security acl 3101

# 配置安全策略policy 引用IPSec 安全提议prop

[RouterA-ipsec-policy-isakmp-policy-10]proposal prop

[RouterA-ipsec-policy-isakmp-policy-10]quit

# 配置IP 地址。

[RouterA]interface serial 2/0

[RouterA-Serial2/0]ip address 100.1.1.1 255.255.255.0

[RouterA-Serial2/0]ipsec policy policy 引用安全策略

[RouterA-Serial2/0]quit

# 配置以太网口。

[RouterA]interface ethernet 1/0

[RouterA-Ethernet1/0]ip address 172.16.0.1 255.255.255.0

[RouterA-Ethernet1/0]quit

# 配置到分公司局域网的静态路由。

[RouterA]ip route-static 192.168.0.0 255.255.255.0 serial 2/0

(2) 配置Router B

# 配置本端安全网关的名称。

<RouterB>system-view

[RouterB]ike local-name routerb

# 配置ACL

[RouterB]acl number 3101

[RouterB-acl-adv-3101]rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255 允许172.16.0.0网段进入

[RouterB-acl-adv-3101]quit

# 配置IKE 安全提议。

[RouterB]ike proposal 1

[RouterB-ike-proposal-1]authentication-algorithm sha 验证算法

[RouterB-ike-proposal-1]authentication-method pre-share

[RouterB-ike-proposal-1]encryption-algorithm 3des-cbc加密算法

[RouterB-ike-proposal-1]dh group2分配DH

# 配置IKE 对等体peer

[RouterB]ike peer peer

[RouterB-ike-peer-peer]exchange-mode aggressive //协商模式为野蛮模式

[RouterB-ike-peer-peer] pre-shared-key abc  //配置预共享密钥,此密钥必须与对端保持一致

 

[RouterB-ike-peer-peer]id-type name  //协商类型为使用命名

[RouterB-ike-peer-peer] remote-name routera //配置对端命名

[RouterB-ike-peer-peer]remote-address 100.1.1.1 //配置对端IP地址

[RouterB-ike-peer-peer] nat traversal //配置nat 穿越功能

 

[RouterB-ike-peer-peer]quit

# 创建IPSec 安全提议prop

[RouterB]ipsec proposal prop

[RouterB-ipsec-proposal-prop]encapsulation-mode tunnel 隧道模式

[RouterB-ipsec-proposal-prop] transform esp 加密方式

[RouterB-ipsec-proposal-prop]esp encryption-algorithm 3des esp加密方式3des

[RouterB-ipsec-proposal-prop]esp authentication-algorithm sha1 验证方式

[RouterB-ipsec-proposal-prop] quit

# 创建安全策略policy 并指定通过IKE 协商建立SA

[RouterB] ipsec policy policy 10 isakmp

# 配置安全策略policy 引用IKE 对等体peer

[RouterB-ipsec-policy-isakmp-policy-10] ike-peer peer

# 配置安全策略policy 引用访问控制列表3101

[RouterB-ipsec-policy-isakmp-policy-10]security acl 3101

# 配置安全策略policy 引用IPSec 安全提议prop

[RouterB-ipsec-policy-isakmp-policy-10] proposal prop

[RouterB-ipsec-policy-isakmp-policy-10]quit

# 配置拨号访问控制列表。

[RouterB]dialer-rule 1 ip permit

# 创建Dialer0,使用由ISP 分配的用户名和密码进行拨号和PPP 认证的相关配置,

并配置MTU

[RouterB]interface dialer 0

[RouterB-Dialer0]link-protocol ppp 采用PPP拨号

[RouterB-Dialer0]ppp pap local-user test password simple 123456  拨号ISP提供用户名和密码

[RouterB-Dialer0]ip address ppp-negotiate

[RouterB-Dialer0]dialer user 1 用户    

[RouterB-Dialer0]dialer-group 1 用户组

[RouterB-Dialer0]dialer bundle 1

[RouterB-Dialer0]ipsecno-nat-process enable不做NAT穿越

[RouterB-Dialer0] ipsec policy policy在此接口下引用创建的ipsec策略

[RouterB-Dialer0]mtu 1492

[RouterB-Dialer0]quit

# 配置到总公司局域网的静态路由。

[RouterB]ip route-static 172.16.0.0 255.255.255.0 dialer 0

# 配置以太网口。

[RouterB]interface ethernet 1/0

[RouterB-Ethernet1/0]tcp mss 1450

[RouterB-Ethernet1/0]ip address 192.168.0.1 255.255.255.0

[RouterB-Ethernet1/0]quit

 


本文出自 “Garrett” 博客,请务必保留此出处http://garrett.blog.51cto.com/11611549/1983596

以上是关于CISCO和H3C的IPSEC VPN怎么做,小弟有CISCO的配置命令,求在华为中怎么配置!的主要内容,如果未能解决你的问题,请参考以下文章

cisco ASA5505 与 fortinet防火墙 组建IPSEC VPN 能实现吗? 如何配置。

IPsec VPN详解--验证配置

IPsec VPN详解--验证配置

Cisco ASA 5505配置Ipsec VPN,Cisco vpn客户端可以拔上来,也可以获取IP,但是无法访问内网。

Palo Alto Global Protect 使用Cisco VPN Client

Cisco1700路由器最大可以建立多少IPSec的隧道?