H3C华为-IPsecVPN配置教程

H3C华为-IPsecVPN配置教程
H3C&华为-IPsecVPN配置教程
第⼀篇：⽹关对⽹关IPSec-VPN
⼀、H3C路由
1、型号：MER5200；软件版本： version 7.1.064, Release 0809P07；固定外⽹IP；
2、添加静态路由
添加⾄对端公⽹和对端私⽹路由两条，如下图：
3、创建IPsecVPN
3.1 “虚拟专⽹”---“IPsecVPN”---新建-如下图：
3.2 名称----⾃⾏编辑；接⼝---选择外⽹出⼝，组⽹⽅式---分⽀节点；对端⽹关---对端外⽹IP；认证⽅式---预共享密钥；预共享密钥要与对端路由⼀致；
3.3 保护流配置
H3C路由器下有个内⽹段需要与对端通信，就添加⼏个。

本例172.16.10.0/24与10.10.11.0/24为本地内⽹，172.24.0.0/24为对端内⽹。

注：H3C设备不需要单独再做NAT配置。

4、显⽰⾼级配置
4.1 ike配置：主模式、本地外⽹、对端外⽹，关闭对等体检测，算法组推荐。

如下图：
4.2 IPsec配置：按照默认配置即可。

5、监控信息
待对端华为路由配置完成且正确后，监控会显⽰如下信息。

6、命令⾏检查
[H3C]dis acl all
Dis ike sa
Dis ipsec sa
⼆、华为路由
1、型号：AR1220-S，软件版本：[V200R007C00SPC900]，固定外⽹IP。

2、添加静态路由
添加⾄对端公⽹和对端私⽹路由两条，如下图：
2、配置⾼级ACL
2.1 新建“nonat”，添加⽬的地址10.10.11.0/24,172.16.10.0/24不做NAT转换两条，其他允许NAT转换；如下图
2.2 新建“nj-g”,i添加本地内⽹172.24.0.0/24⾄⽬的内⽹10.10.11.0/24,172.16.10.0/24的acl，此路由⾛IPsec。

如下图
2.3 创建“⽣效时间”
3、NAT应⽤⾼级acl
“ip业务”--“NAT”---“外⽹访问”---编辑----ACL名称选择“nonat”。

4、创建IPsecVPN
4.1 ipsec名称---⾃⾏编辑，接⼝名称--外⽹出⼝，组⽹模式----分⽀站点，effcent VPN--不启⽤，连接编号---⾃⾏选择，IKE版本---V1，协商模式--主模式，对端地址---对端外⽹，预共享密钥---要与对端保持⼀致，其他如下图，参数要与H3C⼀致。

4.2 应⽤⾼级acl----“nj-g”
4.3 IPsec全局配置---保持默认。

5、命令⾏检查
结论：
H3C路由配置相对简单，不⽤单独配置ACL和NAT。

本例H3C MER5200，LAN为1.1.1.254与下联设备IP：1.1.1.1互联，下联设备⽹段为：10.10.11.0/24,172.16.10.0/24.
华为路由器需要配置⾼级ACL、NAT应⽤ACL，注意访问对端内⽹不进⾏NAT转换。

本例增加的“nonat”即为解决此问题。

其他IPsecVPN配置参数要与H3C路由的保持⼀致。

第⼆篇：拔号VPN与对端内⽹通信
需求：在H3C端进⾏L2TP拔号，能够访问对端（华为路由器）的内⽹段即：172.24.0.0/24.
在上⼀篇基础上（⽹关对⽹关隧道已经建⽴成功），进⾏H3C与华为路由进⾏设置如下：
⼀、H3C路由
1、在“虚拟专⽹”----“L2TP服务器”，查看L2TP的虚拟⽹关为：10.0.0.1，⽤户拔号后获取地址池为：10.0.0.2--10.0.0.200.如下图
2、增加保护流配置：如下图
3、当华为端路由器配置完成后，刷新配置看看有⽆新增加监控选项。

⼆、华为路由器
1、在“安全”---“acl”--“⾼级acl”中增加两条acl。

第1条是nonat，第2条是保护允许策略。

如下图配置。

以上都配置完成后，可以进⾏H3C端进⾏拔号测试。

是否已经可以访问对端路由器下的内⽹ip。

2021-07-28。