H3C路由器IPsec VPN操作命令指引
1.IPsec VPN配置步骤及脚本
1.1 定义第一阶段IKE参数
ike proposal 1              //创建一个IKE策略
encryption-algorithm 3des-cbc    //定义加密算法
dh group2      //定义DH算法方式为group2
1.2 定义IKE对等体参数
ike peer szo_to_szidc        //创建一个名字为szo_to_szidc的IKE对等体
proposal 1            //调用上面定义的IKE参数
pre-shared-key cipher xxxxx    //定义对等体密钥,两边设备必须一样
remote-address 210.5.30.121  //指定对端设备的公网IP地址
nat traversal          //开启NAT穿越功能
1.3 定义IPsec隧道参数
ipsec transform-set szo_to_szidc  //创建一个名字为szo_to_szidc传输加密集
encapsulation-mode tunnel    //定义IPsec为隧道模式
transform esp              //使用esp封装
esp authentication-algorithm sha1 md5  //定义esp封装的hash为sha1和md5
esp encryption-algorithm aes-cbc-192 3des  //定义esp封装的加密算法为aes-192和3des
1.4 定义ACL控制进入隧道的流量
acl number 3000
rule 20 permit ip source 192.168.107.224 0.0.0.31 destination 192.168.6.21 0
rule 30 permit ip source 192.168.107.224 0.0.0.31 destination 192.168.6.22 0
rule 40 permit ip source 192.168.107.224 0.0.0.31 destination 192.168.6.23 0
1.5 定义IPsec VPN隧道参数
ipsec policy 720896 1 isakmp   
connection-name szo_to_szidc    //调用定义好的对等体连接参数
security acl 3000              //调用ACL控制流量进入VPN隧道
pfs dh-group2                //使用完善的前向安全
ike-peer szo_to_szidc          //调用IKE对等体参数
transform-set szo_to_szidc      //调用传输加密集
sa duration traffic-based 4608000   
sa duration time-based 28800
1.6 在接口调用IPsec策略
interface Dialer10   
ipsec no-nat-process enable    //在外网接口启用
ipsec policy 720896          //在外网接口绑定IPsec VPN策略
2.PPPOE拨号和NAT配置
2.1 定义需要进行NAT转换的内网地址
acl number 2000    //创建一个标准ACL 定义需要进行地址转换的源
rule 5 permit source 192.168.107.224 0.0.0.31
2.2 配置拨号接口
interface Dialer10
nat outbound 2000    //在外网接口启用PAT转换并调用ACL 2000
link-protocol ppp
ppp chap user 0755********@163.gd //设置chap认证方式的用户名
ppp chap password cipher xxxx  //设置chap认证方式密码
ppp pap local-user 0755********@163.gd password cipher xxxx //设置pap认证方式的用户名密码
ppp ipcp dns admit-any
ppp ipcp
dns request
mtu 1492
ip address ppp-negotiate
tcp mss 1024
dialer user username
dialer-group 10
dialer bundle 10
3. DHCP服务器配置
配置DHCP地址池(地址池范围、DNS服务器地址、网关)
dhcp server ip-pool 1
network 10.1.1.0 mask 255.255.255.128
gateway-list 10.1.1.1
nbns-list 10.1.1.4
expired day 10 hour 12
可以定义特定地址排除在地址池以外
dhcp server forbidden-ip 10.1.1.2 10.1.1.4
使能DHCP服务功能
cipher命令
dhcp enable

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。