至顶网›网络频道 ›SecPath系列:IPSEC配置主模式

SecPath系列:IPSEC配置主模式

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

本文描述的是SecPath系列防火墙的IPSEC配置中主模式。两边的VPN网关可以为路由器或Secpath专用VPN网关。

作者：51CTO.COM 2007年10月25日

关键字：升级防火墙 H3C SecPath IPSEC

【拓扑图】

【配置环境参数】

如图。

【组网需求】

1. 实现武汉和北京两个私网地址（loopback地址）的互通。两个VPN网关必须有公网地址，且必须是静态地址。

2. 要求私网两个网段之间的数据流量采用IPSEC加密传输。

3. 采用隧道模式。

【说明】

1. 由于传输模式仅适用于两台主机之间的相连，实际使用意义不大，本处省略。使用中可参考隧道配置。

2. 两边的VPN网关可以为路由器或Secpath专用VPN网关。

【主要配置】


[Secpath1-beijing]	ike peer 1	配置IKE参数
	pre-shared-key 12345	配置预共享字。两端必须一致。有些路由器版本需要加”extrange main”启动主模式。一般，默认即为主模式。
	remote-address 202.38.1.2	配置隧道对端地址。
	#
	ipsec proposal p1	创建安全提议，可采用默认安全提议内容。默认为：ESP隧道封装，DES加密，MD5验证。通过”display ipsec proposal”可以查看提议内容。包括加密方法、数据认证方法等。如需更改，则在安全提议模式下更改
	#
	ipsec policy policy1 1 isakmp	创建ipsec策略，其安全内容采用IKE自动协商。
	security acl 3000	指定哪些数据流需要加密
	ike-peer 1	引用IKE对等体
	proposal p1	引用安全提议
	#
	interface Ethernet0/0/0
	ip address 202.38.1.1 255.255.255.0
	ipsec policy policy1	在外网接口上启用IPSEC策略，加密相关私网数据
	#
	acl number 3000
	rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255	指定去往对端私网的数据流
	rule 1 deny ip
	#
	ip route-static 0.0.0.0 0.0.0.0 202.38.2.2 preference 60	注意：一定要有去往对端的路由，包括公网和私网地址。也就是说，设备需要知道去往10.1.2.0的路径，通过路由发到公网口上。
	#

[Secpath2-wuhan]	ike peer 1	配置IKE参数
	pre-shared-key 12345	配置预共享字。两端必须一致。有些路由器版本需要加”extrange main”启动主模式。
	remote-address 202.38.1.1	配置隧道对端地址。
	#
	ipsec proposal p1	创建安全提议，可采用默认安全提议内容。通过”display ipsec proposal”可以查看提议内容。包括加密方法、数据认证方法等。如需更改，则在安全提议模式下更改
	#
	ipsec policy policy1 1 isakmp	创建ipsec策略，其安全内容采用IKE自动协商。
	security acl 3000	指定哪些数据需要加密
	ike-peer 1	引用IKE对等体
	proposal p1	引用安全提议
	#
	interface Ethernet0/0/0
	ip address 202.38.1.2 255.255.255.0
	ipsec policy policy1	在外网接口上启用IPSEC策略，加密相关私网数据
	#
	acl number 3000
	rule 0 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255	指定去往对端私网的数据流，注意与对端的ACL应为镜像，这样双方才能互相对数据加解密。
	rule 1 deny ip
	#
	ip route-static 0.0.0.0 0.0.0.0 202.38.2.1 preference 60	注意：一定要有去往对端的路由