HCMSR系列路由器用户手册

H3C-MSR路由器配置配置(pèizhì)telnet登录(dēnɡlù)telnet server enable创建本地(běndì)账号与密码local-user adminpassword simple hnjb8013user-interface vty 0 4authentication-mode schemauser-role level-15配置(pèizhì)WAN口地址(dìzhǐ)<H3C>system-view2)设置内网网关设置(shèzhì)DHCP<H3C>system-view[H3C]dhcp server ip-pool 1[H3C-dhcp-pool-1]network 192.168.1.0 mask 255.255.255.0[H3C-dhcp-pool-1]gateway-list 192.168.1.1[H3C-dhcp-pool-1]address range 192.168.1.2 192.168.1.200地点(dìzhǐ)池[H3C-dhcp-pool-1]dns-list202.106.0.20 114.114.114.114//具体(jùtǐ)的运营商DNS地址(dìzhǐ)[H3C-dhcp-pool-1]quit5)配置默许路由[H3C]ip route-static 0.0.0.0 0.0.0.0 119.57.73.65//下一跳地址配置运营商分配的网关地址Nat一对一NAT<H3C>system-viewNAT端口映照<H3C>system-viewnat server protocol tcp global 119.57.73.67 5366 inside 192.168.1.67 5366nat server protocol tcp global 119.57.73.67 5367 inside 192.168.1.67 5367nat server protocol tcp global 119.57.73.67 8081 inside 192.168.1.244 8081nat server protocol tcp global 119.57.73.67 8123 inside 192.168.1.250 8443nat server protocol tcp global 119.57.73.67 inside 192.168.1.88 3389L2TP over ipsec1.开启(kāiqǐ)L2TP功能(gōngnéng)。

H3C-MSR路由器配置路由器作为网络中的重要设备之一，扮演着连接不同网络、实现数据转发的关键角色。

H3C-MSR路由器作为一款功能强大、性能稳定的产品，被广泛应用于各种规模的网络中。

为了使H3C-MSR路由器能够正常工作并满足网络需求，正确的配置是至关重要的。

本文将详细介绍H3C-MSR路由器的配置方法，帮助用户快速上手。

一、基本配置1. 连接路由器首先，使用网线将H3C-MSR路由器的Console接口与计算机的串口相连。

然后，使用串口终端工具，如SecureCRT等，通过串口连接到路由器。

打开终端工具后，选择正确的串口号和波特率，确保与路由器连接成功。

2. 登录路由器成功连接到路由器后，输入登录用户名和密码，即可登录路由器的命令行界面。

默认的用户名为admin，密码为空。

为了提高安全性，建议用户在首次登录后立即修改密码。

3. 设定主机名在路由器命令行界面下，通过以下命令来为路由器设定一个主机名：configure terminalhostname <主机名>exit二、接口配置1. 配置接口IP地址为了使路由器能够与其他设备进行通信，需要为其配置IP地址。

假设要为接口GigabitEthernet 0/0/1配置IP地址为192.168.1.1，子网掩码为255.255.255.0，可以在命令行界面下执行以下命令：interface GigabitEthernet 0/0/1ip address 192.168.1.1 255.255.255.02. 配置接口描述接口描述功能可以使管理员更好地管理和识别各个接口。

为了对接口GigabitEthernet 0/0/1进行描述，可以使用以下命令：interface GigabitEthernet 0/0/1description <描述信息>3. 配置接口速率和双工模式根据网络需求和接口连接设备的性能要求，可以配置接口的速率和双工模式。

配置telnet登录telnet server enable创建本地账号与密码local-user adminpassword simple hnjb8013user-interface vty 0 4authentication-mode schemauser-role level-15配置WAN口地址<H3C>system-view[H3C]interface GigabitEthernet 0/0[H3C-GigabitEthernet0/0]ip address 119.57.73.67 255.255.255.248 //IP地址和掩码配置运营商分配的地址[H3C-GigabitEthernet0/0]quit2) 设置网网关[H3C]interface GigabitEthernet 0/1[H3C-GigabitEthernet0/1]ip address 192.168.1.1 24//网网关IP地址[H3C-GigabitEthernet0/1]quit设置DHCP<H3C>system-view[H3C]dhcp server ip-pool 1[H3C-dhcp-pool-1]network 192.168.1.0 mask 255.255.255.0[H3C-dhcp-pool-1]gateway-list 192.168.1.1[H3C-dhcp-pool-1]address range 192.168.1.2 192.168.1.200 地址池[H3C-dhcp-pool-1]dns-list202.106.0.20 114.114.114.114 //具体的运营商DNS 地址[H3C-dhcp-pool-1]quit4) 在WAN接口配置NAT，实现网地址上网进行源地址转换。

[H3C]interface GigabitEthernet 0/0[H3C-GigabitEthernet0/0]nat outbound5) 配置默认路由[H3C]ip route-static 0.0.0.0 0.0.0.0 119.57.73.65 //下一跳地址配置运营商分配的网关地址Nat一对一NAT<H3C>system-view[H3C]nat static outbound 192.168.1.248 119.57.73.70[H3C]interface GigabitEthernet0/0[H3C-GigabitEthernet0/0]ip address 119.57.73.70 255.255.255.248 sub[H3C-GigabitEthernet0/0]nat static enable[H3C-GigabitEthernet0/0]quitNAT端口映射<H3C>system-view[H3C]interface GigabitEthernet 0/0 //进入设备公网接口[H3C-GigabitEthernet0/0]nat server protocol tcp global 119.57.73.67 5366 inside 192.168.1.67 5366nat server protocol tcp global 119.57.73.67 5367 inside 192.168.1.67 5367nat server protocol tcp global 119.57.73.67 8081 inside 192.168.1.244 8081nat server protocol tcp global 119.57.73.67 8123 inside 192.168.1.250 8443nat server protocol tcp global 119.57.73.67 33890 inside 192.168.1.88 3389L2TP over ipsec1.开启L2TP功能。

7 相关资料1 简介本文档介绍IPsec的典型配置举例。

2 配置前提本文档适用于使用Comware V7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例3.1 组网需求如图1所示，PPP用户Host与Device建立L2TP隧道，Windows server 2003作为CA服务器，要求：•通过L2TP隧道访问Corporate network。

•用IPsec对L2TP隧道进行数据加密。

•采用RSA证书认证方式建立IPsec隧道。

图1 基于证书认证的L2TP over IPsec配置组网图3.2 配置思路由于使用证书认证方式建立IPsec隧道，所以需要在ike profile中配置local-identity 为dn，指定从本端证书中的主题字段取得本端身份。

3.3 使用版本本举例是在R0106版本上进行配置和验证的。

3.4 配置步骤3.4.1 Device的配置(1) 配置各接口IP地址# 配置接口GigabitEthernet2/0/1的IP地址。

<Device> system-view[Device] interface gigabitethernet 2/0/1[Device-GigabitEthernet2/0/1] ip address 192.168.100.50 24[Device-GigabitEthernet2/0/1] quit# 配置接口GigabitEthernet2/0/2的IP地址。

[Device] interface gigabitethernet 2/0/2[Device-GigabitEthernet2/0/2] ip address 102.168.1.11 24[Device-GigabitEthernet2/0/2] quit# 配置接口GigabitEthernet2/0/3的IP地址。

H3C-MSR800路由器配置说明H3C-MSR800路由器配置说明1、引言1.1 目的1.2 读者对象1.3 参考资料2、准备工作2.1 硬件准备2.2 软件准备2.3 连接设置3、路由器基本配置3.1 登录路由器3.2 密码配置3.3 系统基本配置3.4 接口配置3.5 路由配置4.1 IP地质配置4.2 子网掩码配置4.3 网关配置4.4 DNS配置4.5 NAT配置5、路由器安全配置5.1 访问控制列表（ACL）配置5.2 防火墙配置5.3 用户认证配置5.4 安全策略配置6、功能配置6.1 VLAN配置6.2 QoS配置6.3 VPN配置6.4 动态主机配置协议（DHCP）配置 6.5 虚拟路由器冗余协议（VRRP）配置7.1 SNMP配置7.2 日志配置7.3 命令行接口（CLI）配置7.4 图形用户界面（GUI）配置8、故障排除8.1 故障排除工具和命令8.2 常见问题及解决方法9、附件- H3C-MSR800路由器安装手册- H3C-MSR800路由器用户手册注释：- IP地质：Internet Protocol Address的缩写，指网络上的设备的唯一标识符。

- 子网掩码：用于划分网络地质和主机地质的掩码。

- 网关：支持不同子网之间通信的设备或系统。

- DNS：Domn Name System的缩写，用于将域名映射为IP地质的系统。

- NAT：Network Address Translation的缩写，用于在不同网络之间转换IP地质。

- ACL：Access Control List的缩写，用于限制网络中的数据流动。

- QoS：Quality of Service的缩写，用于优化网络的数据传输质量。

- VPN：Virtual Private Network的缩写，用于建立安全的网络连接。

- DHCP：Dynamic Host Configuration Protocol的缩写，用于自动分配IP地质的协议。

1 典型配置举例导读H3C MSR系列路由器典型配置举例(V7)共包括63个文档，介绍了基于Comware V7软件版本的MSR系列路由器软件特性的典型配置举例，包含组网需求、配置步骤、验证配置和配置文件等内容。

1.1 适用款型本手册所描述的内容适用于MSR系列路由器中的如下款型：款型MSR 5600 MSR 56-60 MSR 56-80MSR 3600 MSR 36-10 MSR 36-20 MSR 36-40 MSR 36-60 MSR3600-28 MSR3600-51MSR 2600 MSR 26-301.2 内容简介典型配置举例中特性的支持情况与MSR系列路由器的款型有关，关于特性支持情况的详细介绍，请参见《H3C MSR 系列路由器配置指导(V7)》和《H3C MSR 系列路由器命令参考(V7)》。

手册包含的文档列表如下：编号名称1H3C MSR系列路由器作为TFTP client升级版本的典型配置举例(V7)2H3C MSR系列路由器作为FTP client升级版本的典型配置举例(V7)3H3C MSR系列路由器作为FTP server升级版本的典型配置举例(V7)4H3C MSR系列路由器采用Boot ROM TFTP方式升级方法的典型配置举例(V7)5H3C MSR系列路由器内网用户通过NAT地址访问地址重叠的外网典型配置举例(V7)6H3C MSR系列路由器内网用户通过NAT地址访问内网服务器典型配置举例(V7)7H3C MSR系列路由器内部服务器负载分担典型配置举例(V7)8H3C MSR系列路由器NAT DNS mapping典型配置举例(V7)9H3C MSR系列路由器定时执行任务典型配置举例(V7)10H3C MSR系列路由器RBAC典型配置举例(V7)11H3C MSR系列路由器以太网链路聚合典型配置举例(V7)12H3C MSR系列路由器端口隔离典型配置举例(V7)13H3C MSR系列路由器VLAN典型配置举例(V7)14H3C MSR系列路由器QinQ典型配置举例(V7)15H3C MSR系列路由器PPP典型配置案例(V7)16H3C MSR系列路由器建立LAC-Auto-Initiated模式L2TP隧道典型配置举例(V7) 17H3C MSR系列路由器建立Client-Initiated模式L2TP隧道的典型配置举例(V7) 18H3C MSR系列路由器L2TP多实例典型配置举例(V7)19H3C MSR系列路由器L2TP多域接入典型配置举例(V7)20H3C MSR系列路由器L2TP over IPsec典型配置举例(V7)21H3C MSR系列路由器AAA典型配置举例(V7)22H3C MSR系列路由器802.1X本地认证典型配置举例(V7)23H3C MSR系列路由器802.1X结合Radius服务器典型配置举例(V7)24H3C MSR系列路由器IPsec典型配置举例(V7)25H3C MSR系列路由器Portal典型配置举例(V7)26H3C MSR系列路由器SSH典型配置举例(V7)27H3C MSR系列路由器OSPF典型配置举例(V7)28H3C MSR系列路由器IS-IS典型配置举例(V7)29H3C MSR系列路由器OSPFv3典型配置举例(V7)30H3C MSR系列路由器IPv6 IS-IS典型配置举例(V7)31H3C MSR系列路由器BGP基础典型配置举例(V7)32H3C MSR系列路由器路由策略典型配置举例(V7)33H3C MSR系列路由器策略路由典型配置举例(V7)34H3C MSR系列路由器Tcl脚本典型配置举例(V7)35H3C MSR系列路由器GRE和OSPF结合使用典型配置举例(V7)36H3C MSR系列路由器IPv6 over IPv4 GRE隧道典型配置举例(V7)37H3C MSR系列路由器ISATAP和6to4相结合使用的典型配置举例(V7)38H3C MSR系列路由器IPv6手动隧道+OSPFv3功能的典型配置举例(V7)39H3C MSR系列路由器授权ARP功能典型配置举例(V7)40H3C MSR系列路由器ARP防攻击特性典型配置举例(V7)41H3C MSR系列路由器ACL典型配置举例(V7)42H3C MSR系列路由器流量监管典型配置举例(V7)43H3C MSR系列路由器流量整形典型配置举例(V7)44H3C MSR系列路由器基于控制平面应用QoS策略典型配置举例(V7)45H3C MSR系列路由器IGMP Snooping典型配置举例(V7)46H3C MSR系列路由器IGMP典型配置举例(V7)47H3C MSR系列路由器组播VPN配置举例(V7)48H3C MSR系列路由器MPLS基础典型配置举例(V7)49H3C MSR系列路由器MPLS L3VPN典型配置举例(V7)50H3C MSR系列路由器HoVPN典型配置举例(V7)51H3C MSR系列路由器MPLS TE典型配置举例(V7)52H3C MSR系列路由器MPLS OAM典型配置举例(V7)53H3C MSR系列路由器作为重定向服务器反向Telnet的典型配置举例(V7)54H3C MSR系列路由器BFD典型配置举例(V7)55H3C MSR系列路由器VRRP典型配置举例(V7)56H3C MSR系列路由器SNMP典型配置举例(V7)57H3C MSR系列路由器Sampler结合IPv4 NetStream使用典型配置举例(V7)58H3C MSR系列路由器NQA典型配置举例(V7)59H3C MSR系列路由器EAA监控策略典型配置举例(V7)60H3C MSR系列路由器NTP典型配置举例(V7)61H3C MSR系列路由器RMON统计功能典型配置举例(V7)62H3C MSR系列路由器终端为流接入方式且应用为流连接方式典型配置举例(V7) 63H3C MSR系列路由器终端为TCP接入且应用为TCP连接方式典型配置举例(V7)H3C MSR系列路由器作为TFTP client升级版本的典型配置举例(V7)Copyright © 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

目录第1章产品介绍.....................................................................................................................1-11.1 简介....................................................................................................................................1-11.1.1 固定接口..................................................................................................................1-11.1.2 接口卡......................................................................................................................1-21.1.3 处理器及存储器.......................................................................................................1-21.1.4 其它硬件规格...........................................................................................................1-31.1.5 H3C MSR 50-40/50-60路由器................................................................................1-31.2 通用模块介绍.....................................................................................................................1-51.2.1 主控板（MPUF）....................................................................................................1-51.2.2 多业务接口卡（MSCA）.......................................................................................1-111.2.3 电源模块（PWR）................................................................................................1-131.2.4 风扇（FAN）.........................................................................................................1-141.2.5 SIC/DSIC和FIC/DFIC接口卡.................................................................................1-141.2.6 ESM模块...............................................................................................................1-151.2.7 语音模块................................................................................................................1-15第1章产品介绍1.1 简介H3C MSR 50系列路由器是华三通信技术有限公司自主开发的、面向企业级网络的产品。

H3C MSR 30-11路由器快速入门-(V1.00)1 产品介绍H3C MSR 30-11路由器是华三通信技术有限公司自主开发的、面向企业级网络的产品。

表1MSR 30-11系列路由器型号产品描述H3C MSR 30-11 提供2个10/100M以太网口（WAN）1个SA口1个Console/AUX口2 连接图1MSR 30-11系列路由器连接示意图3 相关资料与MSR 30-11系列路由器相关的手册如下，用户可从随机的光盘或网站获得。

表2相关手册手册名称用途《H3C MSR 20/30/50系列路由器用户手册》对用户使用路由器进行操作指导。

包括接入分册、IP业务分册、IP路由分册、IP组播分册、MPLS分册、VPN 分册、QoS分册、安全分册、系统分册、IPX分册、语音分册。

详细解释路由器中的操作命令。

包括接入分册、IP业务分册、IP路由分册、IP组播分册、MPLS分册、VPN分册、QoS分册、安全分册、系统分册、IPX 分册、语音分册和各模块的命令总索引。

《H3C MSR 30系列路由器安装手册》主要对H3C MSR 30系列路由器的硬件特性、安装、配置、维护以及常见故障的排除方法进行了详细说明。

《H3C MSR 20/30/50系列路由器接口卡及接口模块手册》主要介绍了路由器涉及到的所有接口卡及接口模块的功能、接口属性、面板、指示灯及接口电缆连接等。

《中低端系列路由器电缆手册》介绍了中低端路由器涉及到的所有电缆的管脚连接关系。

本产品符合关于环境保护方面的设计要求，产品的存放、使用和弃置应遵照相关国家法律、法规要求进行。

4 技术支持杭州华三通信技术有限公司为客户提供全方位的技术支持。

通过杭州华三通信技术有限公司代理商购买产品的用户，请联系销售代理商或杭州华三通信技术有限公司技术支持。

地址：杭州市高新技术产业开发区之江科技工业园六和路310号技术支持电话：400-810-0504，800-810-0504网址：E-mail：customer_service@ BOM：3122A06Q。

H3C MSR系列路由器快速入门-(V2.05)1 产品介绍H3C MSR系列路由器包括如下款型：表1款型清单型号产品描述MSR 900 MSR 900W CONSOLE接口1个USB接口1个FE WAN接口2个FE LAN接口4个内置WLAN (仅MSR 900W支持)MSR 920 MSR 920W CONSOLE接口1个USB接口1个FE WAN接口2个FE LAN接口8个内置WLAN (仅MSR 920W支持)MSR 20-10 MSR 20-10W CON/AUX接口1个USB接口1个FE WAN接口1个FE LAN接口4个DSIC插槽1个(只能单独支持1个SIC卡或1个DSIC)内置WLAN (仅MSR 20-10W支持)MSR 20-10E CON/AUX接口1个USB接口1个FE WAN接口3个FE LAN接口2个DSIC插槽1个(只能单独支持1个SIC卡或1个DSIC)MSR 20-11 CON/AUX接口1个USB接口1个FE WAN接口1个FE LAN接口4个同异步串口1个DSIC插槽1个(只能单独支持1个SIC卡或1个DSIC)MSR 20-12 MSR 20-12W CON/AUX接口1个USB接口1个FE WAN接口1个FE LAN接口4个E1接口1个内置WLAN (仅MSR 20-12W支持)DSIC插槽1个(只能单独支持1个SIC卡或1个DSIC)VPM插槽1个MSR 20-20 CONSOLE接口1个AUX接口1个USB接口1个FE WAN接口2个SIC插槽2个ESM插槽1个CF卡插槽1个MSR 20-21 CONSOLE接口1个AUX接口1个USB接口1个FE WAN接口2个FE LAN接口8个SIC插槽2个ESM插槽1个CF卡插槽1个MSR 20-40 CONSOLE接口1个AUX接口1个USB接口1个FE WAN接口2个SIC插槽4个ESM插槽2个VCPM插槽1个VPM插槽2个CF卡插槽1个MSR 30-10 CON/AUX接口1个USB接口1个FE WAN接口2个SIC插槽2个XMIM插槽1个(兼容MIM插槽)ESM插槽1个VPM插槽1个MSR 30-11 CON/AUX接口1个FE WAN接口2个同异步串口1个SIC插槽2个XMIM插槽1个(兼容MIM插槽)ESM插槽1个MSR 30-11E CON/AUX接口1个USB接口1个FE WAN接口2个FE LAN接口24个ESM插槽1个SIC插槽2个MIM插槽1个MSR 30-11F CON/AUX接口1个USB接口1个FE WAN接口2个FE LAN接口48个ESM插槽1个SIC插槽2个MIM插槽1个MSR 30-16 CONSOLE接口1个AUX接口1个USB接口1个FE WAN接口2个SIC插槽4个MIM插槽1个ESM插槽2个VCPM插槽1个VPM插槽2个CF卡插槽1个MSR 30-20 CONSOLE接口1个AUX接口1个USB接口2个GE WAN接口2个SIC插槽4个MIM插槽2个ESM插槽2个VCPM插槽1个VPM插槽2个CF卡插槽1个MSR 30-40 CONSOLE接口1个AUX接口1个USB接口2个GE WAN (光/电Combo)接口2个SIC插槽4个MIM插槽4个ESM插槽2个VCPM插槽1个VPM插槽3个CF卡插槽1个MSR 30-60 CONSOLE接口1个AUX接口1个USB接口2个GE WAN (光/电Combo)接口2个SIC插槽4个MIM插槽6个ESM插槽2个VCPM插槽1个VPM插槽3个CF卡插槽1个MSR3600-51F CON/AUX接口1个USB接口1个FE WAN接口2个FE LAN接口48个ESM插槽1个SIC插槽2个MIM插槽1个MSR 50-40 MPUF CONSOLE接口1个AUX接口1个USB接口2个GE WAN (光/电Combo)接口2个SIC插槽4个FIC插槽4个ESM插槽2个VCPM插槽1个VPM插槽4个CF卡插槽1个MSR 50-60 MPUF CONSOLE接口1个AUX接口1个USB接口2个GE WAN (光/电Combo)接口2个SIC插槽4个FIC插槽6个ESM插槽2个VCPM插槽1个VPM插槽4个CF卡插槽1个MSR 50-40 MPU-G2 CONSOLE接口1个AUX接口1个USB接口2个GE WAN (光/电Combo)接口3个FIC插槽4个ESM插槽2个VCPM插槽1个CF卡插槽1个MSR 50-60 MPU-G2 CONSOLE接口1个AUX接口1个USB接口2个GE WAN (光/电Combo)接口3个FIC插槽6个ESM插槽2个VCPM插槽1个CF卡插槽1个2 安全声明重要！在产品上电启动之前，请阅读本产品的安全与兼容性信息。

H3C-MSR800路由器配置说明
本地设置为192.168.1.X段地址，访问192.168.1.1，用户名密码都为admin
登陆界面
建议不要用快速配置，有时候经常出现未知问题接口配置——WAN接口配置
接口配置——LAN设置
配置完成点击确定，在DHCP服务列表可以看到LAN口配置
NAT配置，转换方式选择GigabitEthernet 0/0
点击确定，在列表看到
在安全配置——攻击防范——入侵检测，把攻击防范都勾上。

点击确定
点击高级配置——QOS设置，进行带宽限速
点击系统管理——服务管理，点击HTTP服务，配置远程，端口配置为8081
点击系统管理——用户管理，修改用户名密码
配置完成回到首页，点击保存，保存配置。

53 WiNet53.1 概述随着网络规模的增加，网络边缘需要使用大量的接入设备，这使对这些设备的管理工作非常繁琐。

同时，要为这些设备逐一配置IP地址，在目前IP地址资源日益紧张的情况下无疑也是一种浪费。

WiNet（Wisdom NetWork，智能网络）的主要目的就是解决大量分散的网络设备的集中管理问题。

WiNet具有以下优点：z节省公网IP地址。

z内嵌式：WiNet功能内嵌于网络设备上，不需要专门的网管设备。

z易部署：只需选择一个设备作为管理设备，并对其进行简单的Web配置，则整网管理即可启动。

z低成本：无需另外购买软件，节省了成本。

z界面友好：以Web界面的方式和用户交互，操作简单、易学，无需专职的网管人员。

z即插即用：WiNet基于我司专有技术，利用链路层的天然连通性，只要将设备通过以太网接口接入到网络中，即可在网络拓扑上被显示出来，并可进行相关操作，即插即用。

根据在WiNet中所处的地位和功能的不同，可把WiNet中的设备分为以下三种角色：z管理设备（Administrator）：在WiNet中对整个WiNet管理发挥接口作用的设备，也是WiNet 中唯一配置公网IP地址的设备。

每个WiNet必须（且只能）指定一个管理设备。

对WiNet中的其它设备进行配置、管理和监控都必须通过WiNet设备来进行，WiNet设备通过收集相关信息来发现和确定候选设备。

z成员设备（Member）：在WiNet中处于被管理状态的设备。

z候选设备（Candidate）：指还没有加入WiNet但具备WiNet能力、能够成为WiNet成员的设备。

它与成员设备的区别在于：其拓扑信息已被管理设备收集到但尚未加入WiNet。

图53-1WiNet典型组网图53.2 配置WiNet53.2.1 启动WiNet只需选择一台候选设备作为管理设备，并在该设备上启动WiNet 即可建立WiNet 。

在导航栏中选择“WiNet ”，单击“设置”页签，进入如图53-2所示的页面。

H3C MSR路由器H3C MSR路由器配置指南1：简介1.1 概述1.2 适用范围1.3 功能特点2：系统配置2.1 系统设置2.1.1 设备基本信息配置2.1.2 系统时间配置2.1.3 系统安全配置2.2 路由器接口配置2.2.1 接口启用与禁用2.2.2 IP地址配置2.2.3 VLAN配置2.3 高可用性配置2.3.1 系统冗余配置2.3.2 VRRP配置2.3.3 BFD配置3：路由配置3.1 静态路由配置3.2 动态路由配置3.2.1 OSPF配置3.2.2 BGP配置3.3 路由策略配置3.3.1 路由策略的基本概念3.3.2 路由策略示例4：安全配置4.1 访问控制列表（ACL）配置4.2 防火墙配置4.2.1 包过滤防火墙配置4.2.2 应用层网关（ALG）配置 4.2.3 安全策略配置4.3 用户认证配置4.3.1 本地用户认证4.3.2 远程服务器认证5： QoS配置5.1 QoS基础知识5.2 QoS策略配置5.2.1 可配置的QoS策略 5.2.2 QoS策略示例6：网络管理配置6.1 网络管理协议配置6.1.1 SNMP配置6.1.2 Telnet和SSH配置 6.2 系统日志配置6.2.1 日志级别配置6.2.2 日志服务器配置6.3 网络服务配置6.3.1 DHCP配置6.3.2 NAT配置7：附件本文档附带以下附件：- 示例配置文件- 路由器配置示意图8：法律名词及注释- ACL: 访问控制列表，用于限制网络访问- OSPF: 开放最短路径优先，一种动态路由协议- BGP: 边界网关协议，一种自治系统间的路由协议- QoS: 服务质量，用于优化网络流量分配和控制- SNMP: 简单网络管理协议，用于网络设备监控和管理- Telnet: 一种用于远程登录的网络协议- SSH: 安全外壳协议，用于加密远程登录- DHCP: 动态主机配置协议，用于自动分配IP地址- NAT: 网络地址转换，用于将私有IP地址转换为公有IP 地址。

H3CMSR203050路由器配置手册H3CMSR203050路由器配置手册1、硬件配置1.1 路由器外观1.2 各个接口及按钮说明1.3 硬件规格2、路由器初始化2.1 获取路由器IP地质2.2 登录路由器管理界面2.3 修改管理员账户和密码2.4 更新路由器固件3、网络设置3.1 WAN口配置3.2 静态IP设置3.3 DHCP设置3.4 PPPoE设置3.5 网络协议选择4、Wi-Fi设置4.1 SSID和密码设置4.2 Wi-Fi频段选择4.3 客户端隔离设置4.4 Wi-Fi信号强度调节4.5 Wi-Fi安全设置5、无线扩展设置5.1 路由器工作模式选择5.2 无线中继设置5.3 网桥模式设置5.4 无线信号覆盖范围调整6、本地网络设置6.1 LAN口设置6.2 IP地质分配设置6.3 DNS设置6.4 MAC地质绑定6.5 虚拟局域网(VLAN)设置7、安全设置7.1 防火墙设置7.2 网络地质转换(NAT)设置7.3 VPN设置7.4 端口转发配置7.5 DMZ主机设置8、QoS设置8.1 带宽控制设置8.2 流量限制设置8.3 IP或端口优先级设置8.4 网络应用优化设置9、系统管理9.1 设备重启与恢复出厂设置9.2 日志管理9.3 访问控制设置9.4 定时任务设置9.5 系统时间与时区设置10、附件本文档涉及的附件包括：- 路由器外观图片- 硬件规格表- 配置示例截图11、法律名词及注释- WAN口：广域网接口，用于连接外部网络- DHCP：动态主机配置协议，用于自动分配IP地质- PPPoE：点对点协议通过以太网，用于拨号上网- SSID：无线网络名称- Wi-Fi：通过无线技术连接网络的方式- LAN口：局域网接口，用于连接本地设备- DNS：域名系统，用于将域名解析为IP地质- MAC地质：媒体访问控制地质，用于唯一标识网络设备- VLAN：虚拟局域网，用于划分逻辑上的网络段- DMZ主机：非受保护区域主机，位于防火墙之外提供对外服务- QoS：服务质量，用于根据优先级管理网络流量。

7 相关资料1 简介本文档介绍IPsec的典型配置举例..2 配置前提本文档适用于使用Comware V7软件版本的MSR系列路由器;如果使用过程中与产品实际情况有差异;请参考相关产品手册;或以设备实际情况为准..本文档中的配置均是在实验室环境下进行的配置和验证;配置前设备的所有参数均采用出厂时的缺省配置..如果您已经对设备进行了配置;为了保证配置效果;请确认现有配置和以下举例中的配置不冲突..本文档假设您已了解IPsec特性..3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例3.1 组网需求如图1所示;PPP用户Host与Device建立L2TP隧道;Windows server 2003作为CA服务器;要求：通过L2TP隧道访问Corporate network..用IPsec对L2TP隧道进行数据加密..采用RSA证书认证方式建立IPsec隧道..图1 基于证书认证的L2TP over IPsec配置组网图3.2 配置思路由于使用证书认证方式建立IPsec隧道;所以需要在ike profile中配置local-identity 为dn;指定从本端证书中的主题字段取得本端身份..3.3 使用版本本举例是在R0106版本上进行配置和验证的..3.4 配置步骤3.4.1 Device的配置1 配置各接口IP地址# 配置接口GigabitEthernet2/0/1的IP地址..<Device> system-viewDevice interface gigabitethernet 2/0/1Device-GigabitEthernet2/0/1 quit# 配置接口GigabitEthernet2/0/2的IP地址..Device interface gigabitethernet 2/0/2Device-GigabitEthernet2/0/2 quit# 配置接口GigabitEthernet2/0/3的IP地址..Device interface gigabitethernet 2/0/3Device-GigabitEthernet2/0/3 quit2 配置L2TP# 创建本地PPP用户l2tpuser;设置密码为hello..Device local-user l2tpuser class networkDevice-luser-network-l2tpuser password simple helloDevice-luser-network-l2tpuser service-type pppDevice-luser-network-l2tpuser quit# 配置ISP域system对PPP用户采用本地验证..Device domain systemDevice-isp-system authentication ppp localDevice-isp-system quit# 启用L2TP服务..Device l2tp enable# 创建接口Virtual-Template0;配置接口的IP地址为..Device interface virtual-template 0# 配置PPP认证方式为PAP..Device-Virtual-Template0 ppp authentication-mode pap# 配置为PPP用户分配的IP地址为..Device-Virtual-Template0 quit# 创建LNS模式的L2TP组1..Device l2tp-group 1 mode lns# 配置LNS侧本端名称为lns..Device-l2tp1 tunnel name lns# 关闭L2TP隧道验证功能..Device-l2tp1 undo tunnel authentication# 指定接收呼叫的虚拟模板接口为VT0..Device-l2tp1 allow l2tp virtual-template 0Device-l2tp1 quit3 配置PKI证书# 配置PKI实体security..Device pki entity securityDevice-pki-entity-security common-name deviceDevice-pki-entity-security quit# 新建PKI域..Device pki domain headgateDevice-pki-domain-headgate ca identifier LYQDevice-pki-domain-headgate certificate request from raDevice-pki-domain-headgate certificate request entity securityDevice-pki-domain-headgate undo crl check enableDevice-pki-domain-headgate public-key rsa general name abc length 1024Device-pki-domain-headgate quit# 生成RSA算法的本地密钥对..Device public-key local create rsa name abcThe range of public key modulus is 512 ~ 2048.If the key modulus is greater than 512;it will take a few minutes. Press CTRL+C to abort.Input the modulus length default = 1024:Generating Keys.............................++++++.++++++Create the key pair successfully.# 获取CA证书并下载至本地..Device pki retrieve-certificate domain headgate caThe trusted CA's finger print is:MD5 fingerprint:8649 7A4B EAD5 42CF 5031 4C99 BFS3 2A99SHA1 fingerprint:61A9 6034 181E 6502 12FA 5A5F BA12 0EA0 5187 031CIs the finger print correct Y/N:yRetrieved the certificates successfully.# 手工申请本地证书..Device pki request-certificate domain headgateStart to request general certificate ...Certificate requested successfully.4 配置IPsec隧道# 创建IKE安全提议..Device ike proposal 1Device-ike-proposal-1 authentication-method rsa-signatureDevice-ike-proposal-1 encryption-algorithm 3des-cbcDevice-ike-proposal-1 dh group2Device-ike-proposal-1 quit# 配置IPsec安全提议..Device ipsec transform-set tran1Device-ipsec-transform-set-tran1 esp authentication-algorithm sha1Device-ipsec-transform-set-tran1 esp encryption-algorithm 3desDevice-ipsec-transform-set-tran1 quit# 配置IKE profile..Device ike profile profile1Device-ike-profile-profile1 local-identity dnDevice-ike-profile-profile1 certificate domain headgateDevice-ike-profile-profile1 proposal 1Device-ike-profile-profile1 match remote certificate deviceDevice-ike-profile-profile1 quit# 在采用数字签名认证时;指定总从本端证书中的主题字段取得本端身份.. Deviceike signature-identity from-certificate# 创建一条IPsec安全策略模板;名称为template1;序列号为1..Device ipsec policy-template template1 1Device-ipsec-policy-template-template1-1 transform-set tran1Device-ipsec-policy-template-template1-1 ike-profile profile1Device-ipsec-policy-template-template1-1 quit# 引用IPsec安全策略模板创建一条IPsec安全策略;名称为policy1;顺序号为1.. Device ipsec policy policy1 1 isakmp template template1# 在接口上应用IPsec安全策略..Device interface gigabitethernet 2/0/2Device-GigabitEthernet2/0/2 ipsec apply policy policy1Device-GigabitEthernet2/0/2 quit3.4.2 Host的配置1 从证书服务器上申请客户端证书# 登录到证书服务器：;点击“申请一个证书”..图1 进入申请证书页面# 点击“高级证书申请”..图2 高级证书申请# 选择第一项：创建并向此CA提交一个申请..图3 创建并向CA提交一个申请# 填写相关信息..需要的证书类型;选择“客户端身份验证证书”；密钥选项的配置;勾选“标记密钥为可导出”前的复选框..# 点击<提交>;弹出一提示框：在对话框中选择“是”..# 点击安装此证书..图4 安装证书2 iNode客户端的配置使用iNode版本为：iNode PC 5.2E0409# 打开L2TP VPN连接;并单击“属性…Y”..图5 打开L2TP连接# 输入LNS服务器的地址;并启用IPsec安全协议;验证证方法选择证书认证..图6 基本配置# 单击<高级C>按钮;进入“L2TP设置”页签;设置L2TP参数如下图所示..图7 L2TP设置# 单击“IPsec设置”页签;配置IPsec参数..图8 IPsec参数设置# 单击“IKE设置”页签;配置IKE参数..图9 IKE参数设置# 单击“路由设置”页签;添加访问Corporate network的路由..图10 路由设置# 完成上述配置后;单击<确定>按钮;回到L2TP连接页面..3.5 验证配置# 在L2TP连接对话框中;输入用户名“l2tpuser”和密码“hello”;单击<连接>按钮..图11 连接L2TP# 在弹出的对话框中选择申请好的证书;单击<确定>按钮..图12 证书选择# 通过下图可以看到L2TP连接成功..图13 连接成功图14 连接成功# 在Device上使用display ike sa命令;可以看到IPsec隧道第一阶段的SA正常建立..<Device> display ike saConnection-ID Remote Flag DOI------------------------------------------------------------------Flags:RD--READY RL--REPLACED FD-FADING# 在Device上使用display ipsec sa命令可以看到IPsec SA的建立情况..<Device> display ipsec sa-------------------------------Interface: GigabitEthernet2/0/2------------------------------------------------------------IPsec policy: policy1Sequence number: 1Mode: template-----------------------------Tunnel id: 0Encapsulation mode: tunnelPerfect forward secrecy:Path MTU: 1443Tunnel:Flow:Inbound ESP SAsTransform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-SHA1SA duration kilobytes/sec: 1843200/3600SA remaining duration kilobytes/sec: 1843197/3294Max received sequence-number: 51Anti-replay check enable: YAnti-replay window size: 64UDP encapsulation used for NAT traversal: NStatus: ActiveOutbound ESP SAsTransform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-SHA1SA duration kilobytes/sec: 1843200/3600SA remaining duration kilobytes/sec: 1843197/3294Max sent sequence-number: 52UDP encapsulation used for NAT traversal: NStatus: Active3.6 配置文件#interface Virtual-Template0ppp authentication-mode pap#interface GigabitEthernet2/0/1#interface GigabitEthernet2/0/2ipsec apply policy policy1#interface GigabitEthernet2/0/3#domain systemauthentication ppp local#local-user l2tpuser class networkpassword cipher $c$3$nl46fURLtkCkcbdnB6irTXma+E6u0c+h service-type pppauthorization-attribute user-role network-operator#pki domain headgateca identifier LYQcertificate request from racertificate request entity securitypublic-key rsa general name abcundo crl check enable#pki entity securitycommon-name host#ipsec transform-set tran1esp encryption-algorithm 3des-cbcesp authentication-algorithm sha1#ipsec policy-template template1 1transform-set tran1ike-profile profile1#ipsec policy policy1 1 isakmp template template1#l2tp-group 1 mode lnsallow l2tp virtual-template 0undo tunnel authenticationtunnel name lns#l2tp enable#ike signature-identity from-certificate#ike profile profile1certificate domain headgatelocal-identity dnmatch remote certificate deviceproposal 1#ike proposal 1authentication-method rsa-signatureencryption-algorithm 3des-cbcdh group2#4 IPsec over GRE的典型配置举例4.1 组网需求如图15所示;企业远程办公网络通过IPsec VPN接入企业总部;要求：通过GRE隧道传输两网络之间的IPsec加密数据..图15 IPsec over GRE组网图4.2 配置思路为了对数据先进行IPsec处理;再进行GRE封装;访问控制列表需匹配数据的原始范围;并且要将IPsec应用到GRE隧道接口上..为了对网络间传输的数据先进行IPsec封装;再进行GRE封装;需要配置IPsec 隧道的对端IP地址为GRE隧道的接口地址..4.3 使用版本本举例是在R0106版本上进行配置和验证的..4.4 配置步骤4.4.1 Device A的配置1 配置各接口IP地址# 配置接口GigabitEthernet2/0/1的IP地址..<DeviceA> system-viewDeviceA interface gigabitethernet 2/0/1DeviceA-GigabitEthernet2/0/1 tcp mss 1350DeviceA-GigabitEthernet2/0/1 quit# 配置接口GigabitEthernet2/0/2的IP地址..DeviceA interface gigabitethernet 2/0/2DeviceA-GigabitEthernet2/0/2 quit2配置GRE隧道# 创建Tunnel0接口;并指定隧道模式为GRE over IPv4隧道..DeviceA interface tunnel 0 mode gre# 配置Tunnel0接口的IP地址为..# 配置Tunnel0接口的源端地址为Device A的GigabitEthernet2/0/2的IP地址..# 配置Tunnel0接口的目的端地址为Device B的GigabitEthernet2/0/2的IP地址..DeviceA-Tunnel0 quit# 配置从Device A经过Tunnel0接口到Remote office network的静态路由..3配置IPsec VPN# 配置IKE keychain..DeviceA ike keychain keychain1DeviceA-ike-keychain-keychain1 quit# 创建ACL3000;定义需要IPsec保护的数据流..DeviceA acl number 3000DeviceA-acl-adv-3000 quit# 配置IPsec安全提议..DeviceA ipsec transform-set tran1DeviceA-ipsec-transform-set-tran1 esp encryption-algorithm desDeviceA-ipsec-transform-set-tran1 esp authentication-algorithm sha1DeviceA-ipsec-transform-set-tran1 quit# 创建一条IKE协商方式的IPsec安全策略;名称为policy1;序列号为1..DeviceA ipsec policy policy1 1 isakmpDeviceA-ipsec-policy-isakmp-policy1-1 security acl 3000DeviceA-ipsec-policy-isakmp-policy1-1 transform-set tran1DeviceA-ipsec-policy-isakmp-policy1-1 quit# 在GRE隧道接口上应用安全策略..DeviceA interface tunnel 0DeviceA-Tunnel0 ipsec apply policy policy1DeviceA-Tunnel0 quit4.4.2 Device B的配置1 配置各接口IP地址# 配置接口GigabitEthernet2/0/1的IP地址..<DevoceB> system-viewDeviceB interface gigabitethernet 2/0/1DeviceB-GigabitEthernet2/0/1 tcp mss 1350DeviceB-GigabitEthernet2/0/1 quit# 配置接口GigabitEthernet2/0/2的IP地址..DeviceB interface gigabitethernet 2/0/2DeviceB-GigabitEthernet2/0/2 quit2配置GRE隧道# 创建Tunnel0接口;并指定隧道模式为GRE over IPv4隧道..DeviceB interface tunnel 0 mode gre# 配置Tunnel0接口的IP地址为..# 配置Tunnel0接口的源端地址为Device B的GigabitEthernet2/0/2的IP地址..# 配置Tunnel0接口的目的端地址为Device A的GigabitEthernet2/0/2的IP地址..DeviceB-Tunnel0 quit# 配置从DeviceB经过Tunnel0接口到Corporate network的静态路由..3 配置IPsec VPN# 配置IKE keychain..DeviceB ike keychain keychain1DeviceB-ike-keychain-keychain1 quit# 创建ACL3000;定义需要IPsec保护的数据流..DeviceB acl number 3000DeviceB-acl-adv-3000 quit# 配置IPsec安全提议..DeviceB ipsec transform-set tran1DeviceB-ipsec-transform-set-tran1 esp encryption-algorithm desDeviceB-ipsec-transform-set-tran1 esp authentication-algorithm sha1DeviceB-ipsec-transform-set-tran1 quit# 创建一条IKE协商方式的IPsec安全策略;名称为policy1;序列号为1..DeviceB ipsec policy policy1 1 isakmpDeviceB-ipsec-policy-isakmp-policy1-1 security acl 3000DeviceB-ipsec-policy-isakmp-policy1-1 transform-set tran1DeviceB-ipsec-policy-isakmp-policy1-1 quit# 在GRE隧道接口上应用安全策略..DeviceB interface tunnel 0DeviceB-Tunnel0 ipsec apply policy policy1DeviceB-Tunnel0 quit4.5 验证配置# 以Corporate network的主机向Remote office network的主机发起通信为例;从;会触发IPsec协商;建立IPsec隧道;在成功建立IPsec隧道后;可以ping通..Request timed out.Packets: Sent = 4; Received = 3; Lost = 1 25% loss;Approximate round trip times in milli-seconds:Minimum = 1ms; Maximum = 2ms; Average = 1ms# 在Device A上使用display ike sa命令;可以看到第一阶段的SA正常建立..<DeviceA> display ike saConnection-ID Remote Flag DOI------------------------------------------------------------------Flags:RD--READY RL--REPLACED FD-FADING# 在Device A上使用display ipsec sa命令可以看到IPsec SA的建立情况..<DeviceA> display ipsec sa-------------------------------Interface: Tunnel0------------------------------------------------------------IPsec policy: policy1Sequence number: 1Mode: isakmp-----------------------------Tunnel id: 0Encapsulation mode: tunnelPerfect forward secrecy:Path MTU: 1419Tunnel:Flow:Inbound ESP SAsTransform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1SA duration kilobytes/sec: 1843200/3600SA remaining duration kilobytes/sec: 1843199/3550Max received sequence-number: 3Anti-replay check enable: YAnti-replay window size: 64UDP encapsulation used for NAT traversal: NStatus: ActiveOutbound ESP SAsTransform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1SA duration kilobytes/sec: 1843200/3600SA remaining duration kilobytes/sec: 1843199/3550Max sent sequence-number: 3UDP encapsulation used for NAT traversal: NStatus: Active# 在Device A上通过命令display interface tunnel 0可以查看经过GRE隧道传输的流量情况..<DeviceA> display interface tunnel 0Tunnel0Current state: UPLine protocol state: UPDescription: Tunnel0 InterfaceBandwidth: 64kbpsMaximum Transmit Unit: 1476Tunnel keepalive disabledTunnel TTL 255Tunnel protocol/transport GRE/IPGRE key disabledChecksumming of GRE packets disabledOutput queue - Urgent queuing: Size/Length/Discards 0/100/0Output queue - Protocol queuing: Size/Length/Discards 0/500/0Output queue - FIFO queuing: Size/Length/Discards 0/75/0Last clearing of counters: NeverLast 300 seconds input rate: 0 bytes/sec; 0 bits/sec; 0 packets/secLast 300 seconds output rate: 0 bytes/sec; 0 bits/sec; 0 packets/secInput: 40 packets; 3300 bytes; 0 dropsOutput: 41 packets; 3464 bytes; 0 drops# 从Remote office network的主机向Corporate network的主机发起通信验证方法相同;此不赘述..4.6 配置文件Device A：#interface GigabitEthernet2/0/1tcp mss 1350#interface GigabitEthernet2/0/2#interface Tunnel0 mode greipsec apply policy policy1##acl number 3000#ipsec transform-set tran1esp encryption-algorithm des-cbcesp authentication-algorithm sha1#ipsec policy policy1 1 isakmptransform-set tran1security acl 3000#ike keychain keychain1#Devoce B#interface GigabitEthernet2/0/1tcp mss 1350#interface GigabitEthernet2/0/2#interface Tunnel0 mode greipsec apply policy policy1##acl number 3000#ipsec transform-set tran1esp encryption-algorithm des-cbcesp authentication-algorithm sha1#ipsec policy policy1 1 isakmptransform-set tran1security acl 3000#ike keychain keychain1#5 GRE over IPsec的典型配置举例5.1 组网需求如图16所示;企业远程办公网络通过GRE隧道与企业总部传输数据;要求：对通过GRE隧道的数据进行IPsec加密处理..图16 GRE over IPsec组网图5.2 配置思路为了对经GRE封装的数据进行IPsec加密;将IPsec策略应用在物理接口上;访问控制列表源和目的地址为物理接口地址..为了使IPsec保护整个GRE隧道;应用IPsec策略的接口和GRE隧道源、目的接口必须是同一接口..5.3 使用版本本举例是在R0106版本上进行配置和验证的..5.4 配置步骤5.4.1 Device A的配置1 配置各接口IP地址# 配置接口GigabitEthernet2/0/1的IP地址..<DeviceA> system-viewDeviceA interface gigabitethernet 2/0/1DeviceA-GigabitEthernet2/0/1 quit# 配置接口GigabitEthernet2/0/2的IP地址..DeviceA interface gigabitethernet 2/0/2DeviceA-GigabitEthernet2/0/2 quit2 配置GRE隧道# 创建Tunnel0接口;并指定隧道模式为GRE over IPv4隧道..DeviceA interface tunnel 0 mode gre# 配置Tunnel0接口的IP地址为..# 配置Tunnel0接口的源端地址为Device A的GigabitEthernet2/0/2的IP地址..# 配置Tunnel0接口的目的端地址为Device B的GigabitEthernet2/0/2的IP地址..DeviceA-Tunnel0 quit# 配置从Device A经过Tunnel0接口到Remote office network的静态路由..3配置IPsec VPN# 配置IKE keychain..DeviceA ike keychain keychain1DeviceA-ike-keychain-keychain1 quit# 创建ACL3000;定义需要IPsec保护的数据流..DeviceA acl number 3000DeviceA-acl-adv-3000 quit# 配置IPsec安全提议..DeviceA ipsec transform-set tran1DeviceA-ipsec-transform-set-tran1 esp encryption-algorithm desDeviceA-ipsec-transform-set-tran1 esp authentication-algorithm sha1DeviceA-ipsec-transform-set-tran1 quit# 创建一条IKE协商方式的IPsec安全策略;名称为policy1;序列号为1..DeviceA ipsec policy policy1 1 isakmpDeviceA-ipsec-policy-isakmp-policy1-1 security acl 3000DeviceA-ipsec-policy-isakmp-policy1-1 transform-set tran1DeviceA-ipsec-policy-isakmp-policy1-1 quit# 在接口GigabitEthernet2/0/2上应用安全策略..DeviceA interface gigabitethernet 2/0/2DeviceA-GigabitEthernet2/0/2 ipsec apply policy policy1DeviceA-GigabitEthernet2/0/2 quit5.4.2 Device B的配置1 配置各接口IP地址# 配置接口GigabitEthernet2/0/1的IP地址..<DeviceB> system-viewDeviceB interface gigabitethernet 2/0/1DeviceB-GigabitEthernet2/0/1 quit# 配置接口GigabitEthernet2/0/2的IP地址..DeviceB interface gigabitethernet 2/0/2DeviceB-GigabitEthernet2/0/2 quit2配置GRE隧道# 创建Tunnel0接口;并指定隧道模式为GRE over IPv4隧道..DeviceB interface tunnel 0 mode gre# 配置Tunnel0接口的IP地址为..# 配置Tunnel0接口的源端地址为Device B的GigabitEthernet2/0/2的IP地址..# 配置Tunnel0接口的目的端地址为Device A的GigabitEthernet2/0/2的IP地址..DeviceB-Tunnel0 quit# 配置从DeviceB经过Tunnel0接口到Corporate network的静态路由..3 配置IPsec VPN# 配置IKE keychain..DeviceB ike keychain keychain1DeviceB-ike-keychain-keychain1 quit# 创建ACL3000;定义需要IPsec保护的数据流..DeviceB acl number 3000DeviceB-acl-adv-3000 quit# 配置IPsec安全提议..DeviceB ipsec transform-set tran1DeviceB-ipsec-transform-set-tran1 esp encryption-algorithm desDeviceB-ipsec-transform-set-tran1 esp authentication-algorithm sha1DeviceB-ipsec-transform-set-tran1 quit# 创建一条IKE协商方式的IPsec安全策略;名称为policy1;序列号为1..DeviceB ipsec policy policy1 1 isakmpDeviceB-ipsec-policy-isakmp-policy1-1 security acl 3000DeviceB-ipsec-policy-isakmp-policy1-1 transform-set tran1DeviceB-ipsec-policy-isakmp-policy1-1 quit# 在接口GigabitEthernet2/0/2上应用安全策略..DeviceB interface gigabitethernet 2/0/2DeviceB-GigabitEthernet2/0/2 ipsec apply policy policy1DeviceB-GigabitEthernet2/0/2 quit5.5 验证配置# 以Corporate network的主机向Remote office network的主机发起通信为例;从;会触发IPsec协商;建立IPsec隧道;在成功建立IPsec隧道后;可以ping通..Request timed out.Packets: Sent = 4; Received = 3; Lost = 1 25% loss;Approximate round trip times in milli-seconds:Minimum = 1ms; Maximum = 2ms; Average = 1ms# 在Device A上使用display ike sa命令;可以看到第一阶段的SA正常建立..<DeviceA> display ike saConnection-ID Remote Flag DOI------------------------------------------------------------------Flags:RD--READY RL--REPLACED FD-FADING# 在Device A上使用display ipsec sa命令可以看到IPsec SA的建立情况..<DeviceA> display ipsec sa-------------------------------Interface: GigabitEthernet2/0/2------------------------------------------------------------IPsec policy: policy1Sequence number: 1Mode: isakmp-----------------------------Tunnel id: 0Encapsulation mode: tunnelPerfect forward secrecy:Path MTU: 1443Tunnel:Flow:Inbound ESP SAsTransform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1SA duration kilobytes/sec: 1843200/3600SA remaining duration kilobytes/sec: 1843199/3573Max received sequence-number: 3Anti-replay check enable: YAnti-replay window size: 64UDP encapsulation used for NAT traversal: NStatus: ActiveOutbound ESP SAsTransform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1SA duration kilobytes/sec: 1843200/3600SA remaining duration kilobytes/sec: 1843199/3573Max sent sequence-number: 3UDP encapsulation used for NAT traversal: NStatus: Active# 在Device A上通过命令display interface tunnel 0可以查看经过GRE隧道传输的流量情况..<DeviceA> display interface tunnel 0Tunnel0Current state: UPLine protocol state: UPDescription: Tunnel0 InterfaceBandwidth: 64kbpsMaximum Transmit Unit: 1476Tunnel keepalive disabledTunnel TTL 255Tunnel protocol/transport GRE/IPGRE key disabledChecksumming of GRE packets disabledOutput queue - Urgent queuing: Size/Length/Discards 0/100/0Output queue - Protocol queuing: Size/Length/Discards 0/500/0Output queue - FIFO queuing: Size/Length/Discards 0/75/0Last clearing of counters: NeverLast 300 seconds input rate: 0 bytes/sec; 0 bits/sec; 0 packets/secLast 300 seconds output rate: 0 bytes/sec; 0 bits/sec; 0 packets/secInput: 43 packets; 3480 bytes; 0 dropsOutput: 45 packets; 3740 bytes; 2 drops# 从Remote office network的主机向Corporate network的主机发起通信验证方法相同;此不赘述..5.6 配置文件Device A：#interface GigabitEthernet2/0/1#interface GigabitEthernet2/0/2 ipsec apply policy policy1#interface Tunnel0 mode gre##acl number 3000#ipsec transform-set tran1esp encryption-algorithm des-cbc esp authentication-algorithm sha1 #ipsec policy policy1 1 isakmp transform-set tran1security acl 3000#ike keychain keychain1qp4hMMjV/iteA==#Devoce B：#interface GigabitEthernet2/0/1#interface GigabitEthernet2/0/2 ipsec apply policy policy1#interface Tunnel0 mode gre##acl number 3000#ipsec transform-set tran1esp encryption-algorithm des-cbc esp authentication-algorithm sha1 #ipsec policy policy1 1 isakmp transform-set tran1security acl 3000#ike keychain keychain1qp4hMMjV/iteA==#6 IPsec同流双隧道的典型配置举例6.1 组网需求如图17所示组网;要求：在Device A和Device B之间建立IPsec隧道;对Host A所在的子网与Host B 所在的子网之间的数据流进行安全保护..Device B上通过两条链路接入互联网;在这两条链路上配置相同的IPsec隧道形成备份..使用IKE自动协商方式建立SA;安全协议采用ESP协议;加密算法采用DES;认证算法采用SHA1-HMAC-96..在Device B上配置共享源接口安全策略;实现数据流量在不同接口间平滑切换..图17 IPsec同流双隧道组网图6.2 使用版本本举例是在R0106版本上进行配置和验证的..6.3 配置步骤6.3.1 Device A的配置1 配置各接口IP地址# 配置接口GigabitEthernet2/0/1的IP地址..<DeviceA> system-viewDeviceA interface gigabitethernet 2/0/1DeviceA-GigabitEthernet2/0/1 quit# 配置接口GigabitEthernet2/0/2的IP地址..DeviceA interface gigabitethernet 2/0/2DeviceA-GigabitEthernet2/0/2 quit# 配置访问网段的静态路由..# 配置到Device B上Loopback0接口的静态路由..2配置IPsec VPN# 配置IKE keychain..DeviceA ike keychain keychain1DeviceA-ike-keychain-keychain1 quit# 创建ACL3000;定义需要IPsec保护的数据流..DeviceA acl number 3000DeviceA-acl-adv-3000 quit# 配置IPsec安全提议..DeviceA ipsec transform-set tran1DeviceA-ipsec-transform-set-tran1 esp encryption-algorithm desDeviceA-ipsec-transform-set-tran1 esp authentication-algorithm sha1DeviceA-ipsec-transform-set-tran1 quit# 创建一条IKE协商方式的IPsec安全策略;名称为policy1;序列号为1..DeviceA ipsec policy policy1 1 isakmpDeviceA-ipsec-policy-isakmp-policy1-1 security acl 3000DeviceA-ipsec-policy-isakmp-policy1-1 transform-set tran1DeviceA-ipsec-policy-isakmp-policy1-1 quit# 在接口GigabitEthernet2/0/1上应用安全策略..DeviceA interface gigabitethernet 2/0/1DeviceA-GigabitEthernet2/0/1 ipsec apply policy policy1DeviceA-GigabitEthernet2/0/1 quit6.3.2 Device B的配置1 配置各接口IP地址# 配置接口GigabitEthernet2/0/1的IP地址..<DeviceB> system-viewDeviceB interface gigabitethernet 2/0/1DeviceB-GigabitEthernet2/0/1 quit# 配置接口GigabitEthernet2/0/2的IP地址..DeviceB interface gigabitethernet 2/0/2DeviceB-GigabitEthernet2/0/2 quit# 配置接口GigabitEthernet2/0/3的IP地址..DeviceB interface gigabitethernet 2/0/3DeviceB-GigabitEthernet2/0/3 quit# 配置接口Loopback 0的IP地址..DeviceB interface loopback 0DeviceB-LoopBack0 quit# 配置访问网段的静态路由..2配置IPsec VPN# 配置IKE keychain..DeviceB ike keychain keychain1DeviceB-ike-keychain-keychain1 quit# 创建ACL3000;定义需要IPsec保护的数据流..DeviceB acl number 3000DeviceB-acl-adv-3000 quit# 配置IPsec安全提议..DeviceB ipsec transform-set tran1DeviceB-ipsec-transform-set-tran1 esp encryption-algorithm desDeviceB-ipsec-transform-set-tran1 esp authentication-algorithm sha1DeviceB-ipsec-transform-set-tran1 quit# 创建一条IKE协商方式的IPsec安全策略;名称为policy1;序列号为1..DeviceB ipsec policy policy1 1 isakmpDeviceB-ipsec-policy-isakmp-policy1-1 security acl 3000DeviceB-ipsec-policy-isakmp-policy1-1 transform-set tran1Device-ipsec-policy-isakmp-policy1-1 quit# 在接口GigabitEthernet2/0/1上应用安全策略..DeviceB interface gigabitethernet 2/0/1DeviceB-GigabitEthernet2/0/1 ipsec apply policy policy1DeviceB-GigabitEthernet2/0/1 quit# 在接口GigabitEthernet2/0/2上应用安全策略..DeviceB interface gigabitethernet 2/0/2DeviceB-GigabitEthernet2/0/2 ipsec apply policy policy1DeviceB-GigabitEthernet2/0/2 quit# 配置IPsec安全策略policy1为共享源接口安全策略;共享源接口为Loopback0..DeviceB ipsec policy policy1 local-address loopback 06.4 验证配置# 从Host A ping Host B;会触发IPsec协商;建立IPsec隧道;在成功建立IPsec隧道后;可以ping通..Request timed out.Packets: Sent = 4; Received = 3; Lost = 1 25% loss;Approximate round trip times in milli-seconds:Minimum = 1ms; Maximum = 5ms; Average = 3ms# 在Device A上使用display ike sa命令;可以看到第一阶段的SA正常建立..DeviceA display ike saConnection-ID Remote Flag DOI------------------------------------------------------------------Flags:RD--READY RL--REPLACED FD-FADING# 在Device A上使用display ipsec sa命令可以看到IPsec SA的建立情况..DeviceA display ipsec sa-------------------------------Interface: GigabitEthernet2/0/1------------------------------------------------------------IPsec policy: policy1Sequence number: 1Mode: isakmp-----------------------------Tunnel id: 0Encapsulation mode: tunnelPerfect forward secrecy:Path MTU: 1443Tunnel:Flow:Inbound ESP SAsTransform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1SA duration kilobytes/sec: 1843200/3600SA remaining duration kilobytes/sec: 1843199/3035Max received sequence-number: 3Anti-replay check enable: YAnti-replay window size: 64UDP encapsulation used for NAT traversal: NStatus: ActiveOutbound ESP SAsTransform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1SA duration kilobytes/sec: 1843200/3600SA remaining duration kilobytes/sec: 1843199/3035Max sent sequence-number: 3UDP encapsulation used for NAT traversal: NStatus: Active# 从Host B向Host A发起通信验证方法相同;此不赘述..6.5 配置文件Device A：#interface GigabitEthernet2/0/1ipsec apply policy policy1#interface GigabitEthernet2/0/2##acl number 3000#ipsec transform-set tran1esp encryption-algorithm des-cbcesp authentication-algorithm sha1#ipsec policy policy1 1 isakmptransform-set tran1security acl 3000#ike keychain keychain1#Device B：#interface LoopBack0#interface GigabitEthernet2/0/1ipsec apply policy policy1#interface GigabitEthernet2/0/2ipsec apply policy policy1#interface GigabitEthernet2/0/3##acl number 3000#ipsec transform-set tran1esp encryption-algorithm des-cbcesp authentication-algorithm sha1#ipsec policy policy1 1 isakmptransform-set tran1security acl 3000#ipsec policy policy1 local-address LoopBack0 #ike keychain keychain1qp4hMMjV/iteA==#。