1. 分几步设置

(1)定义ACL

(2)创建 ipsec 安全建议

1.选择认证方式

ah 选择 ah头认证方式 不配置 ipsec不能建立成功

(3)创建IKE keychain

可以写多条keychain 与多个路由器进行ipsec

(4)创建IKE profile

可以匹配多条对端地址

(5)创建一条IKE协商方式的IPsec安全策略

可以使用模版 建立多条ipsec

2.配置

(1)

配置

Device A

配置各接口的IP地址,具体略。

配置

ACL 3101,定义要保护由子网10.1.1.0/24去子网10.1.2.0/24的数据流。

<DeviceA> system-view

[DeviceA] acl number 3101

[DeviceA-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[DeviceA-acl-adv-3101] quit

也可以 允许任何ip

[DeviceA-acl-adv-3101] rule permit ip source any destination any

创建IPsec安全提议tran1

[DeviceA] ipsec transform-set tran1

配置安全协议对IP报文的封装形式为隧道模式。

[DeviceA-ipsec-transform-set-tran1] encapsulation-mode tunnel

配置采用的安全协议为ESP (这里有多种选择 ah ah-esp esp 选择ah-esp ah 一定要对ah 进行配置验证)

[DeviceA-ipsec-transform-set-tran1] protocol esp

配置ESP协议采用的加密算法为128比特的AES,认证算法为HMAC-SHA1 (也有多种选择 按自己的需求选择)

[DeviceA-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128

[DeviceA-ipsec-transform-set-tran1] esp authentication-algorithm sha1

[DeviceA-ipsec-transform-set-tran1] quit

附:ah 进行配置验证

[DeviceA-ipsec-transform-set-tran1] ah authentication-algorithm md5 ah

[DeviceA-ipsec-transform-set-tran1] quit

创建IKE keychain,名称为keychain1

[DeviceA] ike keychain keychain1

配置与IP地址为2.2.2.2的对端使用的预共享密钥为明文123456TESTplat&!

[DeviceA-ike-keychain-keychain1] pre-shared-key address 2.2.2.2 255.255.255.0 key simple 123456TESTplat&!

[DeviceA-ike-keychain-keychain1] quit

附:可以拥有多条为其他对端 预共享密钥

创建IKE profile,名称为profile1

[DeviceA] ike profile profile1

指定引用的IKE keychain为keychain1

[DeviceA-ike-profile-profile1] keychain keychain1

配置本端的身份信息为IP地址1.1.1.1 (可以配置也可以不配置 使用模版时 不配置这条)

[DeviceA-ike-profile-profile1] local-identity address 1.1.1.1

#配置匹配对端身份的规则为IP地址2.2.2.2/24 (这里可以匹配多个对端身份)

[DeviceA-ike-profile-profile1] match remote identity address 2.2.2.2 255.255.255.0

[DeviceA-ike-profile-profile1] quit

附:匹配多个对端身份 ip地址为 2.2.2.2 到 2.2.2.4

[DeviceA-ike-profile-profile1] match remote identity address range 2.2.2.2 2.2.2.4

创建一条IKE协商方式的IPsec安全策略,名称为map1,顺序号为10

[DeviceA] ipsec policy map1 10 isakmp

配置IPsec隧道的对端IP地址为2.2.2.2

[DeviceA-ipsec-policy-isakmp-map1-10] remote-address 2.2.2.2

指定引用ACL 3101

[DeviceA-ipsec-policy-isakmp-map1-10] security acl 3101

指定引用的安全提议为tran1

[DeviceA-ipsec-policy-isakmp-map1-10] transform-set tran1

指定引用的IKE profile为profile1

[DeviceA-ipsec-policy-isakmp-map1-10] ike-profile profile1

[DeviceA-ipsec-policy-isakmp-map1-10] quit

在接口GigabitEthernet2/1/1上应用IPsec安全策略map1

[DeviceA-GigabitEthernet2/1/1] ipsec apply policy map1

[DeviceA-GigabitEthernet2/1/1] quit

B 同理

H3C ipsec ike 协商配置的更多相关文章

  1. H3C交换机console登录配置 v7

    一.通过con口只需输入password登陆交换机. [H3C]user-interface aux 0 设置认证方式为密码验证方式 [H3C-ui-aux0] authentication-mode ...

  2. H3C三层交换机S5500初始配置+网络访问策略

    DHCP中继配置命令 dhcp relay address-check enable 命令用来使能DHCP 中继的地址匹配检查功能. undo dhcp relay address-check ena ...

  3. H3C单臂路由配置

    Route配置 int g0/0.1 ip add 192.168.10.1 255.255.255.0 vlan-type dot1q vid 10 #子接口封装dot1q并分配给VLAN 10 q ...

  4. H3C交换机IRF典型配置举例LACP MAD检测方式

    一.组网需求 由于公司人员激增,接入层交换机提供的端口数目已经不能满足PC的接入需求.现需要在保护现有投资的基础上扩展端口接入数量,并要求网络易管理.易维护. 二.组网图 三.配置思路 Device ...

  5. H3C的DHCP中继配置命令

    dhcp enable命令用来使能DHCP服务 dhcp relay information enable 命令用来配置DHCP中继支持Option 82功能 缺省情况下,DHCP中继不支持Optio ...

  6. H3C交换机DHCP基础配置案例 v7版本

    一.需求 要求在Switch A上配置DHCP服务器功能实现:• 为网络内的客户端动态分配 10.1.1.0/24 网段内的 IP 地址.租用有效期限. DNS 信息.网关地址等配置信息:• 根据 S ...

  7. H3C S3600V2 通过CONSOLE配置端口镜像

    前24口为百兆口 对应序号为 Ethernet 1/0/(0~24) 25 26为千兆口 对应序号为 GigabitEthernet 1/0/(25~26) 以下是通过25号千兆口监听1号百兆口的例子 ...

  8. 温习H3C S5500的VLAN配置

    这,才是我想要的... ACCESS还是TRUNK TYPE?

  9. H3C 路由器SSH服务配置命令(续)

随机推荐

  1. Linux下多线程,断点续传,命令行下载工具axel

    From: http://www.2cto.com/os/201202/118482.html 安装办法: $ sudo pacman -S axel 使用方法: $ axel -n 10 -o /文 ...

  2. chrome控制台查看控件有没绑定事件[转]

    chrome控制台查看btn_comment_submit控件有没绑定事件 function lookEvents (elem) {     return $.data ? $.data( elem, ...

  3. 二模02day1解题报告

    T1.淘汰赛制 比赛时的淘汰赛制,给出每两个球队比赛的胜率,求出最终胜率最高的队伍. 这题的概率真的很难算啊感觉...一开始打的代码打下来就是用f[i][j]表示i场比赛后第j人还在场的概率.不难看出 ...

  4. $.when().then()

    当两个Ajax请求是成功的则执行函数myFunc,如果任一个有错误则执行myFailure. $.when($.ajax("/page1.php"), $.ajax("/ ...

  5. 计算hashCode的常见方法

    把某个非零常数值,比如说17,保存在一个叫result的int类型的变量中. 2.对于对象中每一个关键域f(值equals方法中考虑的每一个域),完成以下步骤: a.为该域计算int类型的散列吗c: ...

  6. django1.7取消syncdb后不能创建model相应表的问题

    一.在运行一个django程序时,无法创建自定义model相应的表. 我检查seetings.py文件,发现自定义的app,blog已经写到INSTALLED_APPS中, INSTALLED_APP ...

  7. Java基础_内部类、静态内部类、成员内部类、局部内部类、匿名内部类 (转)

    From: http://www.itzhai.com/java-based-notebook-a-static-inner-class-within-a-class-member-within-th ...

  8. sed命令手册

    sed 是一种在线编辑器,它一次处理一行内容. 处理时,把当前处理的行存储在临时缓冲区中,称为“模式空间”(pattern space). 接着用sed命令处理缓冲区中的内容,处理完成后,把缓冲区的内 ...

  9. SQL Server 2008中删除errorlog文件的方法

    删除error咯个文件[SSQL\MSSQL10.MSSQLSERVER\MSSQL\Log目录下面] 由于默认情况下,SQL Server 保存 7 个 ErrorLog 文件,名为: ErrorL ...

  10. 转 苹果的新编程语言 Swift 简介

    苹果官方文档地址 https://developer.apple.com/library/prerelease/ios/documentation/Swift/Conceptual/Swift_Pro ...