- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
16-IPsec快速配置命令
本章节下载: 16-IPsec快速配置命令 (216.14 KB)
目 录
由于连锁酒店分支机构众多,IPSEC VPN业务的部署和维护非常复杂,给管理员的工作带来非常大的挑战:“VPN业务多变,管理复杂”,现有标准IPSEC VPN的配置比较繁琐,组网变化带来的配置改动比较大。因此急需提供一种易用性更好,配置更简洁的解决方案。IPSEC 快速配置就是在这样的场景下应运而生的。
按照以往VPN的配置,一个分支上线会有很多相关配置,步骤较多,且在隧道显示上也不太友好,主要表现在如下几个方面:
· 每个分支上线都需要创建IKE、IPsec和对应的tunnel口,然后在tunnel口配置感兴趣流,和对应的tunnel路由。中心端有多少个IP,分支端就需要创建多少个IKE、IPsec和tunnel口及tunnel路由。当走IPsec隧道的网段发生变化时,我们需要同步修改对应的感兴趣流和tunnel路由。当分支特别多的时候,对于管理员来说是一项非常巨大且繁琐的工作,很容易出现配置错误,不好排查。
· 在web页面查看各隧道的流量和状态时,每个隧道只能显示本端IP和对端IP,却不知道这条隧道对应的哪个分支,需要根据分支和IP的对应关系,才能知道属于哪个分支。且一个分支的多个感兴趣流会显示多个SA,无法聚合,显得比较杂乱,不便查看。
· 如果一个分支的私有网段和另一个分支的私有网段有冲突,如,都使用了192.168.10.1/24网段,则后上线的分支需要做NAT,转换为另外一个不冲突的网段才能正常工作。这个NAT配置需要绑定对应的隧道口,以明确只有过隧道的流量才需要转换。如果隧道口有变动,则相应的NAT配置也需要做对应变动。
鉴于以上配置上的繁琐和显示上的不友好,我们要做出改进,优化连锁酒店的IPSEC VPN管理工作,尽可能地使VPN配置自动化,简单化,甚至是傻瓜化,做到“快速上线、动态适应、部署简单”。
针对以上目标,IPsec快速配置具体的改进措施如下:
· 隐藏IKE/IPsec/tunnel口的创建过程
管理员只需配置本端分支名称,对端IP和预共享密钥。后台根据这些配置,自动生成对应的IKE、IPsec和tunnel口,其他相关参数均使用内置的默认参数。
· 感兴趣流不再配置,tunnel路由不再配置
管理员只需要配置本端的保护网段,即需要走IPsec的源网段。对端也是如此。当两端建立起IKE后,交互各自的保护网段,形成感兴趣流,同时以对端的保护网段为目的网段,生成对应的tunnel路由。
· 支持多线路备份
高优先级线路断开后,无缝切换到低优先级的线路;当高优先级线路恢复后,再切换回高优先级线路。
· NAT规则不再配置
管理员只需要配置哪些源网段转换为哪些目的网段。后台会自动生成对应的NAT规则。
· 隧道状态展示优化
页面显示隧道状态时,以分支名称为key,一条记录聚合显示该分支相关隧道的信息,便于查看,支持搜索。
vpn ipsec easy-config
vpn ipsec easy-config进入IPsec快速配置节点,此模式下,进行快速vpn分支与中心端配置。
【视图】
系统视图
【命令】
vpn ipsec easy-config进入快速vpn配置视图。
node-type branch设置IPsec快速配置为分支端。
node-name NAME设置快速vpn名称。
edit center NAME设置分支端名称。
【视图】
IPsec快速配置视图
【参数】
name:节点的IPSEC名称,多隧道时聚合隧道的名称显示成该名称。
【使用指导】
需要先设置IPsec模式为分支端后才能配置分支端名称。
【举例】
#设置IPsec快速配置模式为分支端名称:
host(config)#vpn ipsec easy-config 进入快速vpn配置视图
host(config-easy-ipsec)# node-type branch
host(config-easy-ipsec)# node-name 快速IPsec
host(config-easy-ipsec)# edit center branch1
【命令】
peer-ip A.B.C.D设置IPsec快速配置分支端对端网关。
no peer-ip A.B.C.D删除IPsec快速配置分支端对端网关。
【视图】
IPsec快速配置视图
【参数】
A.B.C.D:以IP地址方式设置对端网关。
【使用指导】
分支对端中心节点IP配置,多隧道时配置多个IP,IP最多配置4个,每配置一个IP就会自动生成一套IKE、IPSEC、tunnel的配置
【举例】
#设置IPsec快速配置分支端IP设置:
host(config)#vpn ipsec easy-config 进入快速vpn配置视图
host(config-easy-ipsec)# node-type branch
host(config-easy-ipsec)# node-name 快速IPsec
host(config-easy-ipsec)# peer-ip 1.1.1.1
host(config-easy-ipsec)# peer-ip 1.1.1.2
host(config-easy-ipsec)# peer-ip 1.1.1.3
host(config-easy-ipsec)# peer-ip 1.1.1.4
【命令】
preshared-key SEC_kEY设置IPsec快速配置分支端共享密钥。
no preshared-key SEC_kEY
【视图】
IPsec快速配置视图
【参数】
SEC_kEY:共享密钥。
【使用指导】
用于分支和中心之间验证对端身份(长度为6-39个字符)。
【举例】
#设置IPsec快速配置分支端共享密钥设置:
host(config)#vpn ipsec easy-config 进入快速vpn配置视图
host(config-easy-ipsec)# node-type branch
host(config-easy-ipsec)# node-name 快速IPsec
host(config-easy-ipsec)# preshared-key 1234567
【命令】
line NAME A.B.C.D设置IPsec快速配置分支端线路。
no line NAME删除IPsec快速配置分支端线路。
【视图】
IPsec快速配置视图
【参数】
NAME:线路名称。
A.B.C.D:设置线路对应的IP,线路IP必须在对端网关IP中。
【使用指导】
IPsec快速配置线路IP必须存在于对端地址中。
【举例】
#设置IPsec快速配置分支端线路设置:
host(config)#vpn ipsec easy-config 进入快速vpn配置视图
host(config-easy-ipsec)# node-type branch
host(config-easy-ipsec)# node-name 快速IPsec
host(config-easy-ipsec-branch1)# line xianlu1 1.1.1.1
host(config-easy-ipsec-branch1)# line xianlu2 1.1.1.2
【命令】
netmap A.B.C.D/M A.B.C.D/M 设置IPsec快速配置分支端网段映射。
no netmap A.B.C.D/M删除IPsec快速配置分支端网段映射。
【视图】
IPsec快速配置分支端视图
【参数】
A.B.C.D/M:netmap前面的地址段是映射之前的地址段,后面的地址段是需要映射成的地址端。
【使用指导】
IPsec快速网段映射是一对一NAT映射,源网段和映射后网段掩码必须一致,按照IP的顺序进行一对一映射,最多支持32个网段映射。
【举例】
#设置IPsec快速配置分支端网段映射设置:
host(config)#vpn ipsec easy-config 进入快速vpn配置视图
host(config-easy-ipsec)# node-type branch
host(config-easy-ipsec)# node-name 快速IPsec
host(config-easy-ipsec-branch1)# netmap 10.1.1.0/24 15.1.1.0/24
【命令】
vpn ipsec easy-config进入IPsec快速配置节点,此模式下,进行快速vpn分支与中心端配置。
【视图】
系统视图
【命令】
vpn ipsec easy-config 进入快速vpn配置视图。
node-type center设置IPsec快速配置为中心端。
node-name NAME设置快速vpn名称。
【视图】
IPsec快速配置视图
【参数】
name:节点的IPSEC名称,多隧道时聚合隧道的名称显示成该名称
【举例】
#设置IPsec快速配置模式为中心端名称为快速IPsec:
host(config)#vpn ipsec easy-config 进入快速vpn配置视图
host(config-easy-ipsec)# node-type center
host(config-easy-ipsec)# node-name 快速IPsec
【命令】
local-ip A.B.C.D设置IPsec快速配置中心端地址。
no local-ip A.B.C.D删除IPsec快速配置中心端地址。
【视图】
IPsec快速配置视图
【参数】
A.B.C.D:以IP地址方式设置本端网关地址。
【使用指导】
中心节点与分支对接的接口IP配置,多个接口配置多个IP,最多配置4个IP,每配置一个IP就会自动生成一套IKE、IPSEC、tunnel的配置
【举例】
#设置IPsec快速配置中心端IP设置:
host(config)#vpn ipsec easy-config 进入快速vpn配置视图
host(config-easy-ipsec)# node-type center
host(config-easy-ipsec)# node-name 快速IPsec
host(config-easy-ipsec)# local-ip 1.1.1.1
host(config-easy-ipsec)# local-ip 1.1.1.2
host(config-easy-ipsec)# local-ip 1.1.1.3
host(config-easy-ipsec)# local-ip 1.1.1.4
【命令】
preshared-key SEC_kEY设置IPsec快速配置中心端共享密钥。
no preshared-key SEC_kEY删除IPsec快速配置中心端共享密钥。
【视图】
IPsec快速配置视图
【参数】
SEC_kEY:共享密钥。
【使用指导】
用于分支和中心之间验证对端身份(长度为6-39个字符)。
【举例】
#设置IPsec快速配置分支端共享密钥设置:
host(config)#vpn ipsec easy-config 进入快速vpn配置视图
host(config-easy-ipsec)# node-type center
host(config-easy-ipsec)# node-name 快速IPsec
host(config-easy-ipsec)# preshared-key 1234567
【命令】
netmap A.B.C.D/M A.B.C.D/M 设置IPsec快速配置分支端网段映射
no netmap A.B.C.D/M
【视图】
IPsec快速配置中心端视图
【参数】
A.B.C.D/M:netmap前面的地址段是映射之前的地址段,后面的地址段是需要映射成的地址端。
【使用指导】
IPsec快速网段映射是一对一NAT映射,源网段和映射后网段掩码必须一致,按照IP的顺序进行一对一映射,最多支持32个网段映射。
【举例】
#设置IPsec快速配置分支端网段映射设置:
host(config)#vpn ipsec easy-config 进入快速vpn配置视图
host(config-easy-ipsec)# node-type center
host(config-easy-ipsec)# node-name 快速IPsec
host(config-easy-ipsec)# netmap 30.1.1.0/24 40.1.1.0/24
【命令】
vpn ipsec easy-config 进入快速vpn配置视图。
prot-interface interfaceNAME <8-32> 设置快速vpn保护接口。
【视图】
IPsec快速配置视图
【参数】
interfaceNAME:快速vpn保护接口名称。
<8-32>:保护接口的掩码范围。
【使用指导】
自动根据保护接口IP及掩码生成保护网段,该网段会自动传递给对端网关,对端网关根据此保护网段自动生成相应tunnel口的路由,只保护接口主地址,不支持接口从地址保护。
【举例】
#设置IPsec快速配置模式为中心端名称为快速IPsec:
host(config)#vpn ipsec easy-config 进入快速vpn配置视图
host(config-easy-ipsec)# prot-interface ge1-0 24
【命令】
vpn ipsec easy-config 进入快速vpn配置视图。
prot-subnet A.B.C.D/M设置快速vpn保护子网。
【视图】
IPsec快速配置视图
【参数】
A.B.C.D/M:快速vpn保护子网。
【使用指导】
该网段会自动传递给对端网关,对端网关根据此保护网段自动生成相应tunnel口的路由
【举例】
#设置IPsec快速配置模式为中心端名称为快速IPsec:
host(config)#vpn ipsec easy-config 进入快速vpn配置视图
host(config-easy-ipsec)# prot-subnet 10.1.1.1/24
【命令】
display ike sa
【命令】
display ipsec sa
【命令】
clear ike sa all 删除所有一阶段sa
clear ike sa id xx 删除指定id的sa
clear ike sa name xxx 删除指定名称的sa
【命令】
clear ipsec sa all删除所有二阶段sa
clear ipsec sa id xx删除指定id的sa
clear ipsec sa name xxx删除指定名称的sa
步骤1 配置分支端名称和对端IP
host(config)# vpn ipsec easy-config
host(config-easy-ipsec)# node-name 快速vpn
host(config-easy-ipsec)# edit center fenzhi
host(config-easy-ipsec-fenzhi)# peer-ip 1.1.1.1
host(config-easy-ipsec-fenzhi)# peer-ip 1.1.1.2
host(config-easy-ipsec-fenzhi)# peer-ip 1.1.1.3
步骤2 配置分支端共享密钥
host(config-easy-ipsec-fenzhi)# preshared-key 123456
步骤3 配置分支端
host(config-easy-ipsec-fenzhi)# line xianlu1 1.1.1.1
host(config-easy-ipsec-fenzhi)# line xianlu2 1.1.1.2
host(config-easy-ipsec-fenzhi)# line xianlu3 1.1.1.3
步骤4 添加保护接口
host(config-easy-ipsec)# prot-subnet 10.1.1.1/24
步骤1 配置中心端名称和本端IP
host(config)# vpn ipsec easy-config
host(config-easy-ipsec)# node-type center
host(config-easy-ipsec)# local-ip 1.1.1.1
host(config-easy-ipsec)# local-ip 1.1.1.2
host(config-easy-ipsec)# local-ip 1.1.1.3
host(config-easy-ipsec)# local-ip 1.1.1.4
步骤2 配置分支端共享密钥
host(config-easy-ipsec)# preshared-key 123456
步骤3 添加保护接口
host(config-easy-ipsec)# prot-subnet 10.1.1.1/24
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
