H3C ipsec ike 协商配置
1. 分几步设置
(1)定义ACL
(2)创建 ipsec 安全建议
1.选择认证方式
ah 选择 ah头认证方式 不配置 ipsec不能建立成功
(3)创建IKE keychain
可以写多条keychain 与多个路由器进行ipsec
(4)创建IKE profile
可以匹配多条对端地址
(5)创建一条IKE协商方式的IPsec安全策略
可以使用模版 建立多条ipsec
2.配置
(1)
配置
Device A
配置各接口的IP地址,具体略。
配置
ACL 3101,定义要保护由子网10.1.1.0/24去子网10.1.2.0/24的数据流。
<DeviceA> system-view
[DeviceA] acl number 3101
[DeviceA-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[DeviceA-acl-adv-3101] quit
也可以 允许任何ip
[DeviceA-acl-adv-3101] rule permit ip source any destination any
创建IPsec安全提议tran1
[DeviceA] ipsec transform-set tran1
配置安全协议对IP报文的封装形式为隧道模式。
[DeviceA-ipsec-transform-set-tran1] encapsulation-mode tunnel
配置采用的安全协议为ESP (这里有多种选择 ah ah-esp esp 选择ah-esp ah 一定要对ah 进行配置验证)
[DeviceA-ipsec-transform-set-tran1] protocol esp
配置ESP协议采用的加密算法为128比特的AES,认证算法为HMAC-SHA1 (也有多种选择 按自己的需求选择)
[DeviceA-ipsec-transform-set-tran1] esp encryption-algorithm aes-cbc-128
[DeviceA-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[DeviceA-ipsec-transform-set-tran1] quit
附:ah 进行配置验证
[DeviceA-ipsec-transform-set-tran1] ah authentication-algorithm md5 ah
[DeviceA-ipsec-transform-set-tran1] quit
创建IKE keychain,名称为keychain1
[DeviceA] ike keychain keychain1
配置与IP地址为2.2.2.2的对端使用的预共享密钥为明文123456TESTplat&!
[DeviceA-ike-keychain-keychain1] pre-shared-key address 2.2.2.2 255.255.255.0 key simple 123456TESTplat&!
[DeviceA-ike-keychain-keychain1] quit
附:可以拥有多条为其他对端 预共享密钥
创建IKE profile,名称为profile1
[DeviceA] ike profile profile1
指定引用的IKE keychain为keychain1
[DeviceA-ike-profile-profile1] keychain keychain1
配置本端的身份信息为IP地址1.1.1.1 (可以配置也可以不配置 使用模版时 不配置这条)
[DeviceA-ike-profile-profile1] local-identity address 1.1.1.1
#配置匹配对端身份的规则为IP地址2.2.2.2/24 (这里可以匹配多个对端身份)
[DeviceA-ike-profile-profile1] match remote identity address 2.2.2.2 255.255.255.0
[DeviceA-ike-profile-profile1] quit
附:匹配多个对端身份 ip地址为 2.2.2.2 到 2.2.2.4
[DeviceA-ike-profile-profile1] match remote identity address range 2.2.2.2 2.2.2.4
创建一条IKE协商方式的IPsec安全策略,名称为map1,顺序号为10
[DeviceA] ipsec policy map1 10 isakmp
配置IPsec隧道的对端IP地址为2.2.2.2
[DeviceA-ipsec-policy-isakmp-map1-10] remote-address 2.2.2.2
指定引用ACL 3101
[DeviceA-ipsec-policy-isakmp-map1-10] security acl 3101
指定引用的安全提议为tran1
[DeviceA-ipsec-policy-isakmp-map1-10] transform-set tran1
指定引用的IKE profile为profile1
[DeviceA-ipsec-policy-isakmp-map1-10] ike-profile profile1
[DeviceA-ipsec-policy-isakmp-map1-10] quit
在接口GigabitEthernet2/1/1上应用IPsec安全策略map1
[DeviceA-GigabitEthernet2/1/1] ipsec apply policy map1
[DeviceA-GigabitEthernet2/1/1] quit
B 同理
H3C ipsec ike 协商配置的更多相关文章
- H3C交换机console登录配置 v7
一.通过con口只需输入password登陆交换机. [H3C]user-interface aux 0 设置认证方式为密码验证方式 [H3C-ui-aux0] authentication-mode ...
- H3C三层交换机S5500初始配置+网络访问策略
DHCP中继配置命令 dhcp relay address-check enable 命令用来使能DHCP 中继的地址匹配检查功能. undo dhcp relay address-check ena ...
- H3C单臂路由配置
Route配置 int g0/0.1 ip add 192.168.10.1 255.255.255.0 vlan-type dot1q vid 10 #子接口封装dot1q并分配给VLAN 10 q ...
- H3C交换机IRF典型配置举例LACP MAD检测方式
一.组网需求 由于公司人员激增,接入层交换机提供的端口数目已经不能满足PC的接入需求.现需要在保护现有投资的基础上扩展端口接入数量,并要求网络易管理.易维护. 二.组网图 三.配置思路 Device ...
- H3C的DHCP中继配置命令
dhcp enable命令用来使能DHCP服务 dhcp relay information enable 命令用来配置DHCP中继支持Option 82功能 缺省情况下,DHCP中继不支持Optio ...
- H3C交换机DHCP基础配置案例 v7版本
一.需求 要求在Switch A上配置DHCP服务器功能实现:• 为网络内的客户端动态分配 10.1.1.0/24 网段内的 IP 地址.租用有效期限. DNS 信息.网关地址等配置信息:• 根据 S ...
- H3C S3600V2 通过CONSOLE配置端口镜像
前24口为百兆口 对应序号为 Ethernet 1/0/(0~24) 25 26为千兆口 对应序号为 GigabitEthernet 1/0/(25~26) 以下是通过25号千兆口监听1号百兆口的例子 ...
- 温习H3C S5500的VLAN配置
这,才是我想要的... ACCESS还是TRUNK TYPE?
- H3C 路由器SSH服务配置命令(续)
随机推荐
- 纸上谈兵:哈希表(hash table)
作者:Vamei 出处:http://www.cnblogs.com/vamei 欢迎转载,也请保留这段声明.谢谢! HASH 哈希表(hash table)是从一个集合A到另一个集合B的映射(map ...
- Spring项目解决Post乱码
Java EE解决Post乱码:在web.xml中加入: <filter> <filter-name>encodingFilter</filter-name> &l ...
- 让 Terminal/vim 使用 Solarized 配色
经过亲身体验,终于使用上了solarized的配色,之前配出来相差太多,于是找到这篇参考博文:http://blog.csdn.net/angle_birds/article/details/1169 ...
- MC的一些具体的应用的例子的总结
任何东西,都有其适用的场景,在合适的场景下,才能发挥好更大的作用. 对于memcached,使用内存来存取数据,一般情况下,速度比直接从数据库和文件系统读取要快的多. memcached的最常用的场景 ...
- Reactjs 入门基础(三)
State 和 Props以下实例演示了如何在应用中组合使用 state 和 props .我们可以在父组件中设置 state, 并通过在子组件上使用 props 将其传递到子组件上.在 render ...
- html--第一章 基础知识总结
1--<body bgcolor="red">背景颜色 2--<body backgroud="back-ground.gif"> 背 ...
- Diagramming for WinForms 教程一(读取图元数据)
1,新建“Visual c#” Windows窗体应用程序. 2,从“工具箱”的“Diagramming”选项卡下,托出“DiagramView”控件到Form1上.控件的"Name&quo ...
- ffmpeg未整理好,有时间整理下
v 容器(Container) v 容器就是一种文件(封装)格式,比如flv.mkv.ts.mp4.rmvb.avi等.包含下面5种流以及文件头信息. v 流(Stream) v 是一种视频数 ...
- jQuery中的事件和动画——《锋利的jQuery》(第2版)读书笔记2
第4章 jQuery中的事件和动画 jQuery中的事件 加载DOM $(document).ready(function(){ // 编写代码... }); 可以简写成: $(function( ...
- springMVC配置(XML配置详解)
原文出自:http://www.newasp.net/tech/71609.html web.xml配置: servlet> <servlet-name>dispatcher< ...