H3C&華為-IPsecVPN配置教程
第一篇:網關對網關IPSec-VPN
一、H3C路由
1、型號:MER5200;軟件版本: version 7.1.064, Release 0809P07;固定外網IP;
2、添加靜態路由
添加至對端公網和對端私網路由兩條,如下圖:
3、創建IPsecVPN
3.1 “虛擬專網”---“IPsecVPN”---新建-如下圖:
3.2 名稱----自行編輯;接口---選擇外網出口,組網方式---分支節點;對端網關---對端外網IP;認證方式---預共享密鑰;預共享密鑰要與對端路由一致;
3.3 保護流配置
H3C路由器下有個內網段需要與對端通信,就添加幾個。本例172.16.10.0/24與10.10.11.0/24為本地內網,172.24.0.0/24為對端內網。
注:H3C設備不需要單獨再做NAT配置。
4、顯示高級配置
4.1 ike配置:主模式、本地外網、對端外網,關閉對等體檢測,算法組推薦。如下圖:
4.2 IPsec配置:按照默認配置即可。
5、監控信息
待對端華為路由配置完成且正確后,監控會顯示如下信息。
6、命令行檢查
[H3C]dis acl all
Dis ike sa
Dis ipsec sa
二、華為路由
1、型號:AR1220-S,軟件版本:[V200R007C00SPC900],固定外網IP。
2、添加靜態路由
添加至對端公網和對端私網路由兩條,如下圖:
2、配置高級ACL
2.1 新建“nonat”,添加目的地址10.10.11.0/24,172.16.10.0/24不做NAT轉換兩條,其他允許NAT轉換;如下圖
2.2 新建“nj-g”,i添加本地內網172.24.0.0/24至目的內網10.10.11.0/24,172.16.10.0/24的acl,此路由走IPsec。如下圖
2.3 創建“生效時間”
3、NAT應用高級acl
“ip業務”--“NAT”---“外網訪問”---編輯----ACL名稱選擇“nonat”。
4、創建IPsecVPN
4.1 ipsec名稱---自行編輯,接口名稱--外網出口,組網模式----分支站點,effcent VPN--不啟用,連接編號---自行選擇,IKE版本---V1,協商模式--主模式,對端地址---對端外網,預共享密鑰---要與對端保持一致,其他如下圖,參數要與H3C一致。
4.2 應用高級acl----“nj-g”
4.3 IPsec全局配置---保持默認。
5、命令行檢查
結論:
H3C路由配置相對簡單,不用單獨配置ACL和NAT。本例H3C MER5200,LAN為1.1.1.254與下聯設備IP:1.1.1.1互聯,下聯設備網段為:10.10.11.0/24,172.16.10.0/24.
華為路由器需要配置高級ACL、NAT應用ACL,注意訪問對端內網不進行NAT轉換。本例增加的“nonat”即為解決此問題。其他IPsecVPN配置參數要與H3C路由的保持一致。
第二篇:拔號VPN與對端內網通信
需求:在H3C端進行L2TP拔號,能夠訪問對端(華為路由器)的內網段即:172.24.0.0/24.
在上一篇基礎上(網關對網關隧道已經建立成功),進行H3C與華為路由進行設置如下:
一、H3C路由
1、在“虛擬專網”----“L2TP服務器”,查看L2TP的虛擬網關為:10.0.0.1,用戶拔號后獲取地址池為:10.0.0.2--10.0.0.200.如下圖
2、增加保護流配置:如下圖
3、當華為端路由器配置完成后,刷新配置看看有無新增加監控選項。
二、華為路由器
1、在“安全”---“acl”--“高級acl”中增加兩條acl。第1條是nonat,第2條是保護允許策略。如下圖配置。
以上都配置完成后,可以進行H3C端進行拔號測試。是否已經可以訪問對端路由器下的內網ip。
2021-07-28