分类 路由交换 下的文章

S1720, S2700, S5700, S6720 V200R011C10采用AAA本地认证时,设备不支持本地用户密码过期功能。

1、华为交换机:

#CE交换机
#[*huawei]
aaa
#[*huawei-aaa]
local-user policy password expire 90
local-user authentication lock times 5 5
或者

#S交换机
[HUAWEI] aaa
[HUAWEI-aaa] local-aaa-user wrong-password retry-interval 5 retry-time 3 block-time 5

2、华三交换机:
#[H3C]
password-control enable
password-control aging enable
password-control aging 90
password-control login-attempt 5 exceed lock-time 5

一 华三V5版本IPsec VPN配置流程:

1 配置IKE提议

ike proposal x
(1) H3C设备上存在一个名字叫default的默认ike提议
(2) ike提议下的参数双方一致

2 配置IKE对等体

 ike peer 对等体名
     pre-shared-key 预共享密钥双方一致
     remote-address x.x.x.x 对方公网IP

3 配置IPsec提议

 ipsec proposal y
 ipsec 提议下存在默认参数,双方需要一致
     display ipsec proposal
 注意:在V7新版本的操作系统下,不叫ipsec提议,叫ipsec transform-set
 (IPsec 转换集) ,IPsec转换集下的参数需要手工设置!!!

4 配置高级acl,定义哪些数据需要通过VPN隧道

 双方的高级acl的源和目的互为镜像

5 配置IPsec策略

 ipsec policy 策略名 x isakmp
     proposal IPsec提议
     ike-peer
     security acl

6 IPsec策略下发到本地公网口

 interface 公网口
     ipsec policy 策略名

二 华三V7版本IPsec VPN配置流程:

1 配置IKE提议

ike proposal 1

2 配置IKE对等体

ike profile lk
    keychain lk
    match remote identity address x.x.x.x 对方公网IP
ike keychain lk
    pre-shared-key address 对方公网IP key 预共享密钥双方一致

3 配置IPsec提议

ipsec transform-set lk
    esp encryption-algorithm des-cbc
    esp authentication-algorithm sha1

4 配置高级acl,定义哪些数据需要通过VPN隧道

双方的高级acl的源和目的互为镜像

5 配置IPsec策略

ipsec policy lk 1 isakmp
    transform-set lk
    security acl 
    remote-address 对方公网IP
    ike-profile lk

6 IPsec策略下发到本地公网口

interface 公网口
    ipsec apply policy lk

三 思科版本IPsec VPN配置流程:

1 配置IKE提议
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
!
2 配置IKE对等体
crypto isakmp key kk address 1.1.1.2
3 配置IPsec提议
crypto ipsec transform-set lk esp-3des esp-md5-hmac
4 配置高级acl
定义哪些数据需要通过VPN隧道
access-list 101 permit ip 192.0.0.0 0.255.255.255 192.0.0.0 0.255.255.255
5 配置IPsec策略
crypto map lk 1 ipsec-isakmp
set peer 1.1.1.2
set transform-set lk
match address 101
!
6 IPsec策略下发到本地公网口
interface FastEthernet0/0
ip address 1.1.1.1 255.255.255.0
duplex auto
speed auto
crypto map lk

1、配置路由器接口IP地址

RouterA(config)#int loopback 0
RouterA(config-if)#ip add 172.16.1.1 255.255.255.0
RouterA(config)#int f0/0
RouterA(config-if)#ip add 192.168.1.1 255.255.255.0
RouterA(config-if)#no shutdown

RouterB(config)#int f0/0
RouterB(config-if)#ip add 192.168.1.2 255.255.255.0
RouterB(config-if)#no shutdown
RouterB(config)#int f0/1
RouterB(config-if)#ip add 192.168.2.1 255.255.255.0
RouterB(config-if)#no shutdown

RouterC(config)#int loopback 0
RouterC(config-if)#ip add 172.16.2.1 255.255.255.0
RouterC(config)#int f0/0
RouterC(config-if)#ip add 192.168.2.2 255.255.255.0
RouterC(config-if)#no shutdown

2、在路由器上启动RIP进程,并宣告主网络号

RouterA(config)#router rip
RouterA(config-router)#ver 2
RouterA(config-router)#no auto-summary //ver 2 版本虽然支持不连续子网,但需要关闭自动汇总。
RouterA(config-router)#network 172.16.0.0
RouterA(config-router)#network 192.168.1.0

RouterB(config)#router rip
RouterB(config-router)#ver 2
RouterB(config-router)#no auto-summary
RouterB(config-router)#network 192.168.1.0
RouterB(config-router)#network 192.168.2.0

RouterC(config)#router rip
RouterC(config-router)#ver 2
RouterC(config-router)#no auto-summary
RouterC(config-router)#network 172.16.0.0
RouterC(config-router)#network 192.168.2.0

3、验证配置是否正确

相关命令:
Router#sh ip router
Router#sh ip protocol
Router#debug ip rip

  1. 1
  2. 2