H3CER系列路由器IPSECVPN的典型配置

H3C华为-IPsecVPN配置教程H3C&华为-IPsecVPN配置教程第⼀篇：⽹关对⽹关IPSec-VPN⼀、H3C路由1、型号：MER5200；软件版本： version 7.1.064, Release 0809P07；固定外⽹IP；2、添加静态路由添加⾄对端公⽹和对端私⽹路由两条，如下图：3、创建IPsecVPN3.1 “虚拟专⽹”---“IPsecVPN”---新建-如下图：3.2 名称----⾃⾏编辑；接⼝---选择外⽹出⼝，组⽹⽅式---分⽀节点；对端⽹关---对端外⽹IP；认证⽅式---预共享密钥；预共享密钥要与对端路由⼀致；3.3 保护流配置H3C路由器下有个内⽹段需要与对端通信，就添加⼏个。

本例172.16.10.0/24与10.10.11.0/24为本地内⽹，172.24.0.0/24为对端内⽹。

注：H3C设备不需要单独再做NAT配置。

4、显⽰⾼级配置4.1 ike配置：主模式、本地外⽹、对端外⽹，关闭对等体检测，算法组推荐。

如下图：4.2 IPsec配置：按照默认配置即可。

5、监控信息待对端华为路由配置完成且正确后，监控会显⽰如下信息。

6、命令⾏检查[H3C]dis acl allDis ike saDis ipsec sa⼆、华为路由1、型号：AR1220-S，软件版本：[V200R007C00SPC900]，固定外⽹IP。

2、添加静态路由添加⾄对端公⽹和对端私⽹路由两条，如下图：2、配置⾼级ACL2.1 新建“nonat”，添加⽬的地址10.10.11.0/24,172.16.10.0/24不做NAT转换两条，其他允许NAT转换；如下图2.2 新建“nj-g”,i添加本地内⽹172.24.0.0/24⾄⽬的内⽹10.10.11.0/24,172.16.10.0/24的acl，此路由⾛IPsec。

如下图2.3 创建“⽣效时间”3、NAT应⽤⾼级acl“ip业务”--“NAT”---“外⽹访问”---编辑----ACL名称选择“nonat”。

H3C ER系列路由器IPSEC VPN的典型配置ER系列路由器一端地址是静态IP，另一端是拨号方式获取IP时野蛮模式下的一对一IPSEC VPN的典型配置一、组网需求：某公司存在分支机构A和分支机构B，两端的出口路由器都是ER5200，分别为Router A和Router B，Router A处为静态IP，Router B处为拨号方式获取的IP。

现在客户想在两个分支之间建立VPN来实现互通。

二、组网图：三、配置步骤：当一边的地址都是静态IP（Router A），另外一边是拨号IP（Router B）时，可采用野蛮模式建立IPSEC VPN。

Router A设置：（1）设置虚接口：VPN→VPN设置→虚接口选择一个虚接口名称和与其相应的WAN1口绑定，单击<增加>按钮。

(2)设置IKE安全提议VPN→VPN设置→IKE安全提议输入安全提议名称，并设置验证算法和加密算法分别为MD5、3DES，单击<增加>按钮。

(3) 设置IKE对等体VPN→VPN设置→IKE对等体输入对等体名称，选择对应的虚接口ipsec0。

在“对端地址”文本框中输入Router B的IP地址为全0，选择野蛮模式的NAME类型，分别填写两端的ID。

(4) 设置IPSec安全提议VPN→VPN设置→IPSec安全提议输入安全提议名称，选择安全协议类型为ESP，并设置验证算法和加密算法分别为MD5、3DES，单击<增加>按钮。

(5)设置IPSec安全策略VPN→VPN设置→IPSec安全策略Router B设置：（1）设置虚接口、（2）设置IKE安全提议、（4）设置IPSEC安全提议、（5）设置IPSec安全策略，以上四步的设置与Router A对应的步骤设置一致。

（3）设置IKE对等体VPN→VPN设置→IKE对等体输入对等体名称，选择对应的虚接口ipsec0。

在“对端地址”文本框中输入Router A的IP地址，选择野蛮模式的NAME类型，分别填写两端的ID。

H C E R系列路由器I S E C V N的典型配置 Company number【1089WT-1898YT-1W8CB-9UUT-92108】H3C ER系列路由器IPSEC VPN的典型配置ER系列路由器一端地址是静态IP，另一端是拨号方式获取IP时野蛮模式下的一对一IPSEC VPN的典型配置一、组网需求：某公司存在分支机构A和分支机构B，两端的出口路由器都是ER5200，分别为Router A和Router B，Router A处为静态IP，Router B处为拨号方式获取的IP。

现在客户想在两个分支之间建立VPN来实现互通。

二、组网图：三、配置步骤：当一边的地址都是静态IP（Router A），另外一边是拨号IP（Router B）时，可采用野蛮模式建立IPSEC VPN。

Router A设置：（1）设置虚接口：VPN→VPN设置→虚接口选择一个虚接口名称和与其相应的WAN1口绑定，单击<增加>按钮。

(2)设置IKE安全提议VPN→VPN设置→IKE安全提议输入安全提议名称，并设置验证算法和加密算法分别为MD5、3DES，单击<增加>按钮。

(3) 设置IKE对等体VPN→VPN设置→IKE对等体输入对等体名称，选择对应的虚接口ipsec0。

在“对端地址”文本框中输入Router B的IP地址为全0，选择野蛮模式的NAME类型，分别填写两端的ID。

(4) 设置IPSec安全提议VPN→VPN设置→IPSec安全提议输入安全提议名称，选择安全协议类型为ESP，并设置验证算法和加密算法分别为MD5、3DES，单击<增加>按钮。

(5)设置IPSec安全策略VPN→VPN设置→IPSec安全策略Router B设置：（1）设置虚接口、（2）设置IKE安全提议、（4）设置IPSEC安全提议、（5）设置IPSec安全策略，以上四步的设置与Router A对应的步骤设置一致。

H3C-ER系列路由器IPSEC-VPN的典型配置H3CER 系列路由器 IPSECVPN 的典型配置在当今数字化的时代，企业对于数据安全和远程访问的需求日益增长。

IPSECVPN 作为一种常用的安全通信技术，能够为企业提供可靠的数据加密和远程接入服务。

H3CER 系列路由器以其出色的性能和丰富的功能，成为了实现 IPSECVPN 的理想选择。

接下来，我们将详细介绍 H3CER 系列路由器 IPSECVPN 的典型配置过程。

一、前期准备在进行配置之前，我们需要明确一些基本信息和准备工作：1、确定两端路由器的公网 IP 地址，这是建立 VPN 连接的关键。

2、规划好 IPSECVPN 的参数，如预共享密钥、IKE 策略、IPSEC 策略等。

3、确保两端路由器能够正常连接到互联网，并且网络连接稳定。

二、配置步骤1、配置 IKE 策略IKE（Internet Key Exchange，互联网密钥交换）策略用于协商建立IPSEC 安全联盟所需的参数。

在 H3CER 系列路由器上，我们可以按照以下步骤进行配置：（1）进入系统视图：｀｀｀systemview｀｀｀（2）创建 IKE 安全提议：｀｀｀ike proposal 1｀｀｀（3）设置加密算法和认证算法：｀｀｀encryptionalgorithm aescbc-128authenticationalgorithm sha1｀｀｀（4）创建 IKE 对等体：｀｀｀ike peer peer1｀｀｀（5）设置对等体的预共享密钥：｀｀｀presharedkey simple 123456｀｀｀（6）指定对等体使用的 IKE 提议：｀｀｀ikeproposal 1｀｀｀（7）指定对等体的对端 IP 地址：｀｀｀remoteaddress ＿___｀｀｀2、配置 IPSEC 策略IPSEC 策略用于定义数据的加密和认证方式。

以下是配置步骤：（1）创建 IPSEC 安全提议：｀｀｀ipsec proposal proposal1｀｀｀（2）设置封装模式和加密算法：｀｀｀encapsulationmode tunneltransform espesp encryptionalgorithm aescbc-128esp authenticationalgorithm sha1｀｀｀（3）创建 IPSEC 策略：｀｀｀ipsec policy policy1 1 isakmp｀｀｀（4）指定引用的 IKE 对等体和 IPSEC 安全提议：｀｀｀ikepeer peer1proposal proposal1｀｀｀（5）指定需要保护的数据流：｀｀｀security acl 3000｀｀｀（6）创建访问控制列表，定义需要保护的数据流：｀｀｀acl advanced 3000rule 0 permit ip source 19216810 000255 destination 19216820 000255｀｀｀3、在接口上应用 IPSEC 策略完成上述配置后，需要在相应的接口上应用 IPSEC 策略，以启用VPN 功能：｀｀｀interface GigabitEthernet0/1ipsec apply policy policy1｀｀｀三、配置验证配置完成后，我们可以通过以下方式进行验证：1、查看 IKE 安全联盟状态：｀｀｀display ike sa｀｀｀2、查看 IPSEC 安全联盟状态：｀｀｀display ipsec sa｀｀｀3、从一端向另一端发送测试数据，检查数据是否能够正常加密传输。

H3C路由和控股深信服VPN连接一、登录H3C路由器看一下是拨号网络还是固定IP地址。

看一下内网地址是多少，根据内网地址配置acl.配置ipsec链路。

配置IKE安全提议，ipsec两端要配置要相同。

配置IKE对等体，本端ID和对端ID，两台设备要配置相互匹配。

预共享秘钥两端要一致。

配置ipsec安全提议，两端要配置一致。

配置ipsec安全策略，需要进行ipsec隧道通信的IP网段。

PFS禁用，生命周期3600.两端设备要一致启用ipsec功能。

添加VPN路由。

以上就是H3C端已经配置完了，如果深信服端配置完，就可以在下面查看到VPN联通情况。

深信服端配置：登录深信服设备，打开网络配置，配置需要连接VPN的外网端口，勾选与ipsecVPN出口线路匹配。

设置VPN基本设置。

填写VPN连接的端口，其他可以使用默认设置。

设置需要连接VPN的内网网段地址，内网直连接口的网段默认加入，不需要在这里添加配置第一阶段信息，设备名称自己填写，设备地址类型本文选动态，共享秘钥要和H3C设置相同的秘钥。

选择高级设置，设置高级选项，时间选3600,两端设备要一致。

H3C是拨号上网，本文模式选野蛮模式，如果对端是固定IP就选主模式。

身份ID要和H3c配置匹配。

不要启用dpd.。

下面的算法要和H3C一样。

选择第二阶段，选择新建入站策略，选择第二阶段，选择新建出站策略，打开需要维护，需要故障日志，选择日志选项设置，选择DLAN总部这个选项，就可以筛选出VPN连接情况，根据情况判断VPN连接情况。

可以在VPN里面DLAN运行状态里面查看新连接的VPN。

实验十九 IPSec VPN典型配置实验实验所属系列：网络综合实验系列实验对象：高职相关课程及专业：计算机网络技术实验时数（学分）： 3学时实验类别：实践实验类实验开发教师：温建京【实验目的】1、理解IPSec（IP Security）协议在网络安全中的作用。

2、理解IP层数据加密与数据源验证的原理。

3、掌握实现IPSec VPN的典型配置方法。

【实验内容】1、按实验一中图1-1搭建本地配置环境，通过Console接口对H3C和QuidwayB进行IPSec VPN配置。

配置要求为：安全协议采用ESP协议，加密算法采用DES，验证算法采用SHA1-HMAC-96。

2、按图2-1拓扑结构组网，在H3C和QuidwayB之间建立一个安全隧道，对PC A代表的子网（10.1.1.x）与PC B代表的子网（10.1.2.x）之间的数据流进行安全保护。

3、从子网A向子网B发送数据包，对配置结果进行验证。

【实验环境】1、H3C SecPath 100F硬件防火墙两台。

2、PC个人计算机两台，分别安装Windows 2003 XP/ pro操作系统。

3、Console口配置电缆两根。

4、RJ-45直通（或交叉）网线三根。

Ethernet1/0 Ethernet1/0 Ethernet0/0 10.1.2.1【实验参考步骤】1、按图2-1拓扑结构组网。

2、按实验一相应步骤建立本地配置环境并进入系统视图。

3、配置IPSec VPN第一步：配置H3C（1）定义ethernet 0/0（LAN口）为内部安全区域接口。

[H3C] firewall zone trust[H3C -zone-trust] add interface ethernet 0/0[H3C]quit定义ethernet 1/0（W AN口）为外部广域网接口。

[H3C] firewall zone untrust[H3C -zone-untrust] add interface ethernet 1/0[H3C]quit（2）配置一个访问控制列表，定义由子网10.1.1.x去子网10.1.2.x的数据流。

IPSec VPN配置案例经过上一篇文章的介绍，相信大家对IPSec VPN有了初步的认识。

光说不练，对知识点掌握不够牢固。

今天通过一个IPSec VPN配置来加深理解。

拓扑说明Site1和Site2模拟企业的边界路由，同时Site1和Site2上的ge0/0/0端口上的IP是公网IP，在承载网中是可路由的。

分支机构Site1要有通过Site2的路由，同理，Site2也要有通过Site1的路由。

这是配置IPSec VPN的前提基本配置1、把各个路由端口配置对应的IP。

以Site1为例，其他类似。

<Huawei>system-view[Huawei]sysname Site1[Site1]interface GigabitEthernet 0/0/0[Site1-GigabitEthernet0/0/0]ip address 61.128.1.1 24[Site1-GigabitEthernet0/0/0]q[Site1]interface GigabitEthernet 0/0/2[Site1-GigabitEthernet0/0/2]ip address 172.16.1.254 242、分别在Site1和Site2上配置默认路由。

3、验证分支Site1和Site2连通性。

IPSec VPN配置1、分别在site1和site2配置ACL识别兴趣流。

因为部分流量无需满足完整性和机密性要求，所以需要对流量进行过滤，选择出需要进行IPSec处理的兴趣流。

可以通过配置ACL来定义和区分不同的数据流。

2、配置IPSec安全提议。

缺省情况下，使用ipsec proposal命令创建的IPSec提议采用ESP协议、MD5认证算法和隧道封装模式。

在IPSec提议视图下执行下列命令可以修改这些参数。

1. 执行transform [ah | ah-esp | esp]命令，可以重新配置隧道采用的安全协议。