H3C

誓垨ァ今生″

求H3C ip SEC vpn 配置命令和详解。。。。

lanchangliang

ipsec 不是协议 是一个框架  用它来定义你要建立VPN的模式 加密类型 算法等等一系列参数
具体配置需要看俩端具体的组网环境和不同厂商的设备也有不通的方法
如果你问的只是俩边都是H3C设备 而组网环境是都是由接入ISP的路由器来操作的话 我可以给你个模型供你参考
acl number 3500
description IPSEC
rule 0 permit ip source 192.168.192.0 0.0.0.255 destination 172.17.3.0 0.0.0.255


acl number 3600
description NAT_DENY_IPSEC
rule 0 deny ip source 192.168.192.0 0.0.0.255 destination 172.17.3.0 0.0.0.255
rule 1 permit ip
首先定义个ACL 描述自定义 首先要DENY掉感兴趣流的地址 因为H3C的IPSEC 匹配顺序是数据包到达路由器后先查找路由表 如果你这一端的设备需要做NAT的话 那么你的内部地址就被NAT了 从而导致匹配不上IPSEC的感兴趣流 从而建立不起第一阶段的协商 如果你俩端的设备都不需要做NAT的话 那就不需要这么做
只需要定义第一个ACL即可
注：我这里192的地址是我自己起的
接下来
ike proposal 1
encryption-algorithm 3des-cbc
dh group2
authentication-algorithm md5
定义个IKE提议 起名字为1  设置你的加密类型 DH组等 这些提议必须俩端都一致 否则协商不起来

然后
ike peer center
exchange-mode aggressive
proposal 1
pre-shared-key si 123
remote-address XXXXXXXXXXXX
定义对端对等体名字 我这里是随意写的CENTER  然后定义第一阶段模式 我这里是野蛮模式
接入挂入上一部定义的IKE 提议1    认证方式是共享密钥 我这边采用简单的密码是123  这个密码必须俩端一致    下面是对等体的互联地址

ipsec proposal 1
esp encryption-algorithm 3des
再定义第二阶段的 加密方式 我这里采用的是3DES

ipsec policy center 1 isakmp
security acl 3500
ike-peer center
proposal 1
最后挂上定义的ACL 对等体名称 和提议
然后在你设备对应的接口下启用IPSEC

我这里假设你的设备接入ISP用的是1口

interface GigabitEthernet0/1
port link-mode route
description WAN
nat outbound 3600 address-group 1
ip address XXXXXXX
ipsec policy center
如果不需要NAT的话 你可以不加


俩端配置基本都这样  建议做完之后先测试互联地址能否PING通 然后检查俩端内部路由可达性
最后在其中一端 带感兴趣流的源地址去PING对端感兴趣流的地址  开DEBUG 你可以看到IKE 和IPSEC
俩阶段建立的详细情况  

以上

幸福的海

詹纳瑞

华三的东西没玩过

benet_ff

就一坨烂泥

   同求！...楼主拿到能@下我吗？