IR600路由器与H3C防火墙V7版F1000 IPSecVPN配置方案

如下是V7版的华三的配置页面,有许多功能在web页面并没有配置选项,很多详细参数需要使用命令行进行配置。
http://www.m2mlib.com/uploads/article/20180130/590d9e96591dfe6732413ff3b1ea46bb.png
http://www.m2mlib.com/uploads/article/20180130/e6f5dcc6f73790e84d2709bf7e646d82.png
http://www.m2mlib.com/uploads/article/20180130/0e8f1f64e2c52a52ea4a95d7918f5250.png
http://www.m2mlib.com/uploads/article/20180130/0b1dbec9b7ae850f0db218ade31de953.png
http://www.m2mlib.com/uploads/article/20180130/d1bf01400f89a43f07a156c411781b7a.png
http://www.m2mlib.com/uploads/article/20180130/e22dbf81296bbfdeceabfcd6646d1237.png
  一、在域间策略中添加untrust到local的策略,放通ike和ipsec的所有协议端口和流量。 object-policy ip untrust_to_local  rule 12 pass service ike rule 13 pass service ipsec-ah rule 14 pass service ipsec-esp rule 15 pass service nat-t-ipsec # object-policy ip local_to_untrust  rule 0 pass # object-policy ip Local-Trust  rule 0 pass # object-policy ip Trust-Local  rule 0 pass   二、IPSec的配置参数: 1.设置ike的提议 System ike proposal 1                  encryption-algorithm 3des-cbc dh group2 authentication-algorithm md5 2. 设置ike的实体为fqdn ike identity fqdn        3. 设置用于协商的密钥信息 ike keychain 1                            pre-shared-key hostname 2 key  simple 123456   4.配置ike安全框架 ike profile 1                                      \\设置ike的安全框架 keychain 1                                      \\调用之前的密钥信息 exchange-mode aggressive                        \\设置模式为野蛮模式 local-identity  fqdn  zhongxin            \\配置本端的name为zhongxin) match remote identity fqdn  inhand     \\配置对端的name为inhand) proposal 1                                        \\配置调用的ike提议   5.配置ipsec的安全提议 ipsec transform-set 1                          esp encryption-algorithm 3des-cbc esp authentication-algorithm md5   6. 配置协商时使用模板的方式 ipsec policy-template 1 1                  transform-set 1 ike-profile 1   7. 设置策略和模板绑定 ipsec policy 10 10 isakmp template 1    8.定义ac,拒绝ipsec流量做nat,允许其他流量做nat acl advanced  3000 rule deny ip source 172.16.100.0 0.0.0.255 destination 192.198.5.0 0.0.0.255 rule permit ip quit   8. 在公网接口应用ipsec策略 interface GigabitEthernet0/1 nat outbound  3000          ipsec apply policy 10 quit     三、IR600路由器IPSecVPN 隧道参数配置
http://www.m2mlib.com/uploads/article/20180130/521cb3472839e837a340b6670e52b087.png
http://www.m2mlib.com/uploads/article/20180130/cb5e0642e2c97e125226882a6e068ac3.png
 

0 个评论

要回复文章请先登录注册