IPsec VPN配置流程
一 华三V5版本IPsec VPN配置流程:
1 配置IKE提议
ike proposal x
(1) H3C设备上存在一个名字叫default的默认ike提议
(2) ike提议下的参数双方一致2 配置IKE对等体
ike peer 对等体名
pre-shared-key 预共享密钥双方一致
remote-address x.x.x.x 对方公网IP3 配置IPsec提议
ipsec proposal y
ipsec 提议下存在默认参数,双方需要一致
display ipsec proposal
注意:在V7新版本的操作系统下,不叫ipsec提议,叫ipsec transform-set
(IPsec 转换集) ,IPsec转换集下的参数需要手工设置!!!4 配置高级acl,定义哪些数据需要通过VPN隧道
双方的高级acl的源和目的互为镜像5 配置IPsec策略
ipsec policy 策略名 x isakmp
proposal IPsec提议
ike-peer
security acl 6 IPsec策略下发到本地公网口
interface 公网口
ipsec policy 策略名
二 华三V7版本IPsec VPN配置流程:
1 配置IKE提议
ike proposal 12 配置IKE对等体
ike profile lk
keychain lk
match remote identity address x.x.x.x 对方公网IP
ike keychain lk
pre-shared-key address 对方公网IP key 预共享密钥双方一致3 配置IPsec提议
ipsec transform-set lk
esp encryption-algorithm des-cbc
esp authentication-algorithm sha14 配置高级acl,定义哪些数据需要通过VPN隧道
双方的高级acl的源和目的互为镜像5 配置IPsec策略
ipsec policy lk 1 isakmp
transform-set lk
security acl
remote-address 对方公网IP
ike-profile lk6 IPsec策略下发到本地公网口
interface 公网口
ipsec apply policy lk
三 思科版本IPsec VPN配置流程:
1 配置IKE提议
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
!
2 配置IKE对等体
crypto isakmp key kk address 1.1.1.2
3 配置IPsec提议
crypto ipsec transform-set lk esp-3des esp-md5-hmac
4 配置高级acl
定义哪些数据需要通过VPN隧道
access-list 101 permit ip 192.0.0.0 0.255.255.255 192.0.0.0 0.255.255.255
5 配置IPsec策略
crypto map lk 1 ipsec-isakmp
set peer 1.1.1.2
set transform-set lk
match address 101
!
6 IPsec策略下发到本地公网口
interface FastEthernet0/0
ip address 1.1.1.1 255.255.255.0
duplex auto
speed auto
crypto map lk