登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

02-网络管理配置指导

目录

14-ipsec快速配置配置指导

本章节下载 14-ipsec快速配置配置指导  (210.25 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Operation_Manual/ACG1000_CG(E6411_R6609)-6W105/02/202009/1334581_30005_0.htm

14-ipsec快速配置配置指导

目录

1 IPSec快速配置

1.1 IPSec快速配置简介

1.2 IPSec快速配置分支端

1.2.1 配置IPSec分支端

1.2.2 配置IPSec分支端对端网关设置

1.2.3 配置分支端线路设置

1.3 IPSec快速配置中心端

1.3.1 配置IPSec中心端

1.3.2 配置IPSec中心端网段映射

1.4 IPSec快速配置保护网段

1.4.1 配置保护接口

1.4.2 配置保护网段

1.5 VPN快速典型配置举例

 

1 IPSec快速配置

1.1  IPSec快速配置简介

由于连锁酒店分支机构众多,IPSec VPN业务的部署和维护非常复杂,给管理员的工作带来非常大的挑战:“VPN业务多变,管理复杂”,现有标准IPSec VPN的配置比较繁琐,组网变化带来的配置改动比较大。因此急需提供一种易用性更好,配置更简洁的解决方案。IPSec 快速配置就是在这样的场景下应运而生的。IPSec快速配置具体的改进措施如下:

·     隐藏IKE/IPSec/tunnel口的创建过程,管理员只需配置本端分支名称,对端IP和预共享密钥。后台根据这些配置,自动生成对应的IKE、IPSec和tunnel口,其它相关参数均使用内置的默认参数。

·     感兴趣流不再配置,tunnel路由不再配置,管理员只需要配置本端的保护网段,即需要走IPSec的源网段。对端也是如此。当两端建立起IKE后,交互各自的保护网段,形成感兴趣流,同时以对端的保护网段为目的网段,生成对应的tunnel路由。

·     支持多线路备份,高优先级线路断开后,无缝切换到低优先级的线路;当高优先级线路恢复后,再切换回高优先级线路。

·     NAT规则不再配置,管理员只需要配置哪些源网段转换为哪些目的网段。后台会自动生成对应的NAT规则。

·     隧道状态展示优化,页面显示隧道状态时,以分支名称为key,一条记录聚合显示该分支相关隧道的信息,便于查看,支持搜索。

1.2  IPSec快速配置分支端

1.2.1  配置IPSec分支端

表1-1所示步骤配置IPSec分支端。

表1-1 配置IPSec分支端

操作

命令

说明

进入系统视图

system-view

-

配置快速vpn配置视图

vpn ipsec easy-config

-

设置IPSec快速配置为分支端

node-type branch

必选

设置快速vpn名称

node-name NAME

必选

设置分支端名称

edit center NAME

必选

1.2.2  配置IPSec分支端对端网关设置

表1-2所示步骤配置IPSec分支端对端网关。

表1-2 配置IPSec分支端对端网关

操作

命令

说明

进入系统视图

system-view

-

配置快速vpn配置视图

vpn ipsec easy-config

-

设置IPSec快速配置为分支端

node-type branch

必选

配置对端网关名称

edit center NAME

必选

配置对端网关地址

peer-ip A.B.C.D

必选

配置预共享秘钥

preshared-key SEC-KEY

必选

 

1.2.3  配置分支端线路设置

表1-3所示步骤配置IPSec分支端线路。

表1-3 配置IPSec分支端线路

操作

命令

说明

进入系统视图

system-view

-

配置快速vpn配置视图

vpn ipsec easy-config

-

设置IPSec快速配置为分支端

node-type branch

必选

配置对端网关名称

edit center NAME

必选

配置线路设置

line  NAME A.B.C.D

选填

配置网段映射

netmap A.B.C.D/M A.B.C.D/M

选填

 

1.3  IPSec快速配置中心端

1.3.1  配置IPSec中心端

表1-4所示步骤配置IPSec中心端。

表1-4 配置IPSec中心端

操作

命令

说明

进入系统视图

system-view

-

配置快速vpn配置视图

vpn ipsec easy-config

-

设置IPSec快速配置为中心端

node-type center

必选

设置快速vpn名称

node-name NAME

必选

设置本端IP

local-ip A.B.C.D

必选

设置预共享密钥

preshared-key SEC-KEY

必选

 

1.3.2  配置IPSec中心端网段映射

表1-5所示步骤配置IPSec中心端网段映射。

表1-5 配置IPSec中心端网段映射

操作

命令

说明

进入系统视图

system-view

-

配置快速vpn配置视图

vpn ipsec easy-config

-

设置IPSec快速配置为中心端

node-type center

必选

配置网段映射

netmap A.B.C.D/M A.B.C.D/M

选填

1.4  IPSec快速配置保护网段

1.4.1  配置保护接口

表1-6配置IPSec保护接口。

表1-6 配置IPSec保护接口

操作

命令

说明

进入系统视图

system-view

-

配置快速vpn配置视图

vpn ipsec easy-config

-

设置IPSec保护接口

prot-interface interface mask length

必选

 

1.4.2  配置保护网段

表1-7配置IPSec保护网段。

表1-7 配置IPSec保护网段

操作

命令

说明

进入系统视图

system-view

-

配置快速vpn配置视图

vpn ipsec easy-config

-

设置IPSec保护网段

prot-subnet A.B.C.D/M

必选

 

1.5  VPN快速典型配置举例

1. 组网需求

在ACG A 和ACG B之间建立两个安全隧道,对Host A 代表的子网(2.2.2.0/24)与Host B 代表的子网(13.13.13.0/24)之间的数据流进行安全保护。

 

图1-1 配置vpn快速组网图

 

2. 配置思路

·     中心设备快速VPN配置。

·     分支设备快速VPN配置。

3. 配置步骤

(1)     中心设备快速VPN配置

host# system-view

host(config)# vpn ipsec easy-config

host(config-easy-ipsec)# node-name ACG-A中心

host(config-easy-ipsec)# node-type center

host(config-easy-ipsec)# local-ip 172.16.1.1

host(config-easy-ipsec)# local-ip 172.16.2.1

host(config-easy-ipsec)# preshared-key 123321

host(config-easy-ipsec)# prot-subnet 2.2.2.0/24

host(config)# exit

(2)     分支设备快速VPN配置

host# system-view

host(config)# vpn ipsec easy-config

host(config-easy-ipsec)# node-name ACG-A

host(config-easy-ipsec)# edit center 中心设备

host(config-easy-ipsec-中心设备)# peer-ip 172.16.1.1

host(config-easy-ipsec-中心设备)# peer-ip 172.16.2.1

host(config-easy-ipsec-中心设备)# line 1 172.16.1.1

host(config-easy-ipsec-中心设备)# line 2 172.16.2.1

host(config-easy-ipsec-中心设备)# preshared-key 123321

host(config-easy-ipsec-中心设备)# exit

host(config-easy-ipsec)# prot-subnet 13.13.13.0/24

host(config)# exit

4. 验证配置

通过执行display running-config ipsec-vpn命令来验证配置

host# display running-config ipsec-vpn

vpn ipsec easy-config

  node-name ACG-A中心

  node-type center

  local-ip 172.16.1.1

  local-ip 172.16.2.1

  preshared-key secret y2W944LQCrXo3LokfLd7xboPY/hQUCG4RYmPqrfULxfzcn0RoSA+iBQusPHf42G

  prot-subnet 2.2.2.0/24

!

vpn ipsec easy-config

  node-name ACG-A

  edit center 中心设备

     preshared-key secret y2W944LQCrXo3LokfLd7xboPY/hQUCG4RYmPqrfULxfzcn0RoSA+iBQusPHf42G

     peer-ip 172.16.1.1

     peer-ip 172.16.2.1

     line 1 172.16.1.1

     line 2 172.16.2.1

     exit

  prot-subnet 13.13.13.0/24

!

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们