华为ipsec vpn 配置

interface Ethernet0/0nameif outsidesecurity-level 0ip address 218.70.37.233 255.255.255.248前提：接口IP、路由设置正常一、思科设备配置：路由设置：route outside 172.16.0.0 255.255.255.0 139.9.90.1991.定义VPN两端的访问地址段access-list outside_cryptomap extended permit ip host 192.168.168.243 172.16.0.0 255.255.255.0access-list outside_cryptomap extended permit ip192.168.168.0 255.255.255.0 172.16.0.0 255.255.255.02.定义VPN数据包不进行NAT转换access-list go-vpn extended permit ip 192.168.168.0 255.255.255.0 172.16.0.0 255.255.255.0nat (inside) 0 access-list go-vpn ---<nat_id> '0' is used to indicate no address translation for local IP3、定义ipsec变化集R1(config)#crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmacR1(cfg-crypto-trans)#exit4、定义IKE策略:R1(config)#crypto isakmp policy 5R1(config-isakmp)#encryption 3des---默认是DES加密---R1(config-isakmp)#hash sha /---默认是SHA-1---/R1(config-isakmp)#authentication pre-shareR1(config-isakmp)#group 2 /---默认是768位的DH1---/R1(config-isakmp)#lifetime 86400 /---默认是86400秒---/R1(config-isakmp)#exit5、定义通道组及欲共享秘钥ASA5510(config)# tunnel-group 139.9.90.199 ipsec-attributesASA5510(config-tunnel-ipsec)# pre-shared-key wjm@12345ASA5510(config-tunnel-ipsec)# keepalive disable6、配置加密图R1(config)#crypto map outside_map1 20 match outside_cryptomapcrypto map outside_map1 20 set pfs group1/---默认是group1---/crypto map outside_map1 20 set peer 139.9.90.199crypto map outside_map1 20 set transform-set ESP-3DES-SHA7、加密图并应用在接口上crypto map outside_map1 interface outside检查：show versionshow ip addressshow route outsideshow access-listshow run natshow run cryptoshow run tunnel-groupshow crypto isakmp sashow crypto ipsec sa排错：1.调试完成后发现vpn没有连接成功，可以利用debug工具（debug crypto isakmp 、debug crypto ipsec)进行排错。

5 IPSec配置关于本章5.1 IPSec简介5.2 IPSec原理描述5.3 IPSec应用场景5.4 IPSec配置任务概览5.5 IPSec配置注意事项5.6 IPSec缺省配置5.7 配置采用ACL方式建立IPSec隧道5.8 配置采用虚拟隧道接口方式建立IPSec隧道5.9 配置采用Efficient VPN策略建立IPSec隧道5.10 配置IKE5.11 维护IPSec5.12 IPSec配置举例5.13 IPSec常见配置错误5.1 IPSec简介起源随着Internet的发展，越来越多的企业直接通过Internet进行互联，但由于IP协议未考虑安全性，而且Internet上有大量的不可靠用户和网络设备，所以用户业务数据要穿越这些未知网络，根本无法保证数据的安全性，数据易被伪造、篡改或窃取。

因此，迫切需要一种兼容IP协议的通用的网络安全方案。

为了解决上述问题，IPSec（Internet Protocol Security）应运而生。

IPSec是对IP的安全性补充，其工作在IP层，为IP网络通信提供透明的安全服务。

定义IPSec是IETF（Internet Engineering Task Force）制定的一组开放的网络安全协议。

它并不是一个单独的协议，而是一系列为IP网络提供安全性的协议和服务的集合，包括认证头AH（Authentication Header）和封装安全载荷ESP（Encapsulating SecurityPayload）两个安全协议、密钥交换和用于验证及加密的一些算法等。

通过这些协议，在两个设备之间建立一条IPSec隧道。

数据通过IPSec隧道进行转发，实现保护数据的安全性。

受益IPSec通过加密与验证等方式，从以下几个方面保障了用户业务数据在Internet中的安全传输：●数据来源验证：接收方验证发送方身份是否合法。

●数据加密：发送方对数据进行加密，以密文的形式在Internet上传送，接收方对接收的加密数据进行解密后处理或直接转发。

H3C华为-IPsecVPN配置教程H3C&华为-IPsecVPN配置教程第⼀篇：⽹关对⽹关IPSec-VPN⼀、H3C路由1、型号：MER5200；软件版本： version 7.1.064, Release 0809P07；固定外⽹IP；2、添加静态路由添加⾄对端公⽹和对端私⽹路由两条，如下图：3、创建IPsecVPN3.1 “虚拟专⽹”---“IPsecVPN”---新建-如下图：3.2 名称----⾃⾏编辑；接⼝---选择外⽹出⼝，组⽹⽅式---分⽀节点；对端⽹关---对端外⽹IP；认证⽅式---预共享密钥；预共享密钥要与对端路由⼀致；3.3 保护流配置H3C路由器下有个内⽹段需要与对端通信，就添加⼏个。

本例172.16.10.0/24与10.10.11.0/24为本地内⽹，172.24.0.0/24为对端内⽹。

注：H3C设备不需要单独再做NAT配置。

4、显⽰⾼级配置4.1 ike配置：主模式、本地外⽹、对端外⽹，关闭对等体检测，算法组推荐。

如下图：4.2 IPsec配置：按照默认配置即可。

5、监控信息待对端华为路由配置完成且正确后，监控会显⽰如下信息。

6、命令⾏检查[H3C]dis acl allDis ike saDis ipsec sa⼆、华为路由1、型号：AR1220-S，软件版本：[V200R007C00SPC900]，固定外⽹IP。

2、添加静态路由添加⾄对端公⽹和对端私⽹路由两条，如下图：2、配置⾼级ACL2.1 新建“nonat”，添加⽬的地址10.10.11.0/24,172.16.10.0/24不做NAT转换两条，其他允许NAT转换；如下图2.2 新建“nj-g”,i添加本地内⽹172.24.0.0/24⾄⽬的内⽹10.10.11.0/24,172.16.10.0/24的acl，此路由⾛IPsec。

如下图2.3 创建“⽣效时间”3、NAT应⽤⾼级acl“ip业务”--“NAT”---“外⽹访问”---编辑----ACL名称选择“nonat”。

华为IPSEC VPN互通 + 上网配置示例【包含基本VPN+NAT+NAT免俗】一、实验目的掌握 NAT 的配置掌握 IPSEC VPN 的基础配置二、实验拓扑三、配置要点1.总公司的配置#sysname ZongGongSi#acl number 3000rule 5 deny ip source 172.16.10.0 0.0.0.255 destination 172.16.20.0 0.0.0.255 rule 10 permit ipacl number 3001rule 5 permit ip source 172.16.10.0 0.0.0.255 destination 172.16.20.0 0.0.0.255 #ipsec proposal test#ike proposal 1#ike peer test v2pre-shared-key simple passwordremote-address 23.1.1.2ipsec policy test 10 isakmpsecurity acl 3001ike-peer testproposal test#interface GigabitEthernet0/0/0ip address 172.16.10.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 12.1.1.1 255.255.255.0ipsec policy testnat outbound 3000#ip route-static 0.0.0.0 0.0.0.0 12.1.1.22.分公司配置sysname FenGongSi#acl number 3000rule 5 deny ip source 172.16.20.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 rule 10 permit ipacl number 3001rule 5 permit ip source 172.16.20.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 #ipsec proposal test#ike peer test v2pre-shared-key simple passwordremote-address 12.1.1.1#ipsec policy test 10 isakmpsecurity acl 3001ike-peer testproposal test#interface GigabitEthernet0/0/0ip address 172.16.20.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 23.1.1.2 255.255.255.0ipsec policy testnat outbound 3000#ip route-static 0.0.0.0 0.0.0.0 23.1.1.1#3.互联网的配置#sysname Internet#interface GigabitEthernet0/0/0ip address 12.1.1.2 255.255.255.0#interface GigabitEthernet0/0/1ip address 23.1.1.1 255.255.255.0#interface LoopBack100ip address 100.100.100.100 255.255.255.0 #interface LoopBack200ip address 200.200.200.200 255.255.255.0 #四、互通测试1.主机上 ping 分支上网PC>ping 172.16.20.20Ping 172.16.20.20: 32 data bytes, Press Ctrl_C to break From 172.16.20.20: bytes=32 seq=1 ttl=127 time=47 ms From 172.16.20.20: bytes=32 seq=2 ttl=127 time=47 ms From 172.16.20.20: bytes=32 seq=3 ttl=127 time=31 ms From 172.16.20.20: bytes=32 seq=4 ttl=127 time=16 ms From 172.16.20.20: bytes=32 seq=5 ttl=127 time=31 ms--- 172.16.20.20 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 16/34/47 msPC>ping 100.100.100.100Ping 100.100.100.100: 32 data bytes, Press Ctrl_C to break From 100.100.100.100: bytes=32 seq=1 ttl=254 time=31 ms From 100.100.100.100: bytes=32 seq=2 ttl=254 time=15 ms From 100.100.100.100: bytes=32 seq=3 ttl=254 time=31 ms From 100.100.100.100: bytes=32 seq=4 ttl=254 time=47 ms From 100.100.100.100: bytes=32 seq=5 ttl=254 time=47 ms --- 100.100.100.100 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 15/34/47 ms2.路由器上校验<ZongGongSi>dis ike sa v2Conn-ID Peer VPN Flag(s) Phase---------------------------------------------------------------3 23.1.1.2 0 RD 22 23.1.1.2 0 RD 1Flag Description:RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUTHRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP<ZongGongSi>dis ipsec sa briefNumber of SAs:2Src address Dst address SPI VPN Protocol Algorithm------------------------------------------------------------------------------- 23.1.1.2 12.1.1.1 2433519709 0 ESP E:DES A:MD5-9612.1.1.1 23.1.1.2 2579144653 0 ESP E:DES A:MD5-96。

IPsec VPN工作中感受(2010-10-11 14:06:48)来这边工作2个月。

一直没有什么大的case做，每天基本都是不知道在做什么，终于有一个Case，就是和mexico对接VPN.这两个月也看了不少的VPN方面的书籍，一直等待实践的机会。

机会来了。

我就小心翼翼完成这case。

这篇文章只是心里总结。

我配置的时候也是分两个阶段配置的，根据VPN对接表来操作的，设备是HUAWEI EUDEMON 1000.有的是默认的配置，用display curr 命令看不到你配置过的命令。

1 配置IKE，其中要配置Ike proposal 和ike peer.1.1 配置 ike proposal（各种加密算法，验证算法都是在这个里面）ike proposal 6encryption-algorithm 3des-cbcdh group2sa duration 288001.2 配置ike peerike peer mexico_moralespre-shared-key 123456!AaFWike-proposal 6remote-address *.*.*.*2 配置ipse，其中要配置ipsec proposal ，ACL和ipsec policy2.1 配置 ipsec proposal（各种加密算法，验证算法都是在这个里面）ipsec proposal 6esp authentication-algorithm sha1esp encryption-algorithm 3des2.2 配置ACL（双方的ACL要相互对称）acl number 3600rule 15 permit ip source *.*.*.* 0 destination *.*.*.* 02.3配置ipsec policy (配置这个之前要断了出口VPN组)ipsec policy 1 60 isakmpsecurity acl 3600pfs dh-group2ike-peer mexico_morales proposal 6local-address *.*.*.*sa duration time-based 3600。

IＰSec(Internet Proｔｏｃol Ｓecｕrity)就是IETF(Ｉntｅrｎet Engiｎｅering TasｋFｏrcｅ)制定得一组开放得网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性与抗重放功能来保证通信双方Internet上传输数据得安全性、在Ｉnternet得传输中,绝大部分数据得内容都就是明文传输得,这样就会存在很多潜在得危险,比如:密码、银行帐户得信息被窃取、篡改,用户得身份被冒充,遭受网络恶意攻击等。

网络中部署IPＳeｃ后,可对传输得数据进行保护处理,降低信息泄漏得风险。

采用默认配置通过ＩKＥ协商方式建立ＩPSｅc隧道示例组网需求如图1所示,RouterA为企业分支网关,RoｕterB为企业总部网关,分支与总部通过公网建立通信。

分支子网为１0。

1.1.0/24,总部子网为10。

1.2。

0／24。

企业希望对分支子网与总部子网之间相互访问得流量进行安全保护。

分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPＳec隧道来实施安全保护、图1 采用默认配置通过ＩKE协商方式建立ＩPＳec隧道组网图配置思路采用如下思路配置采用IKE协商方式建立ＩＰSec隧道:1.配置接口得IP地址与到对端得静态路由,保证两端路由可达。

2。

配置ACＬ,以定义需要IＰＳec保护得数据流、３。

配置ＩＰＳeｃ安全提议,定义IPＳeｃ得保护方法。

4、配置IKE对等体,定义对等体间IＫE协商时得属性。

5。

配置安全策略,并引用ＡCL、IＰSec安全提议与ＩKE对等体,确定对何种数据流采取何种保护方法、6、在接口上应用安全策略组,使接口具有ＩＰＳec得保护功能。

操作步骤１。

分别在ＲouｔerA与RouｔｅrＢ上配置接口得IＰ地址与到对端得静态路由＃在RouｔeｒA上配置接口得IＰ地址。

<Hｕawｅi〉ｓyｓtem－viｅw［Hｕaｗei] sysnａｍe RoｕterA［RｏｕｔｅrA] iｎtｅrｆace ｇｉgａbｉｔeｔhernｅｔ１/0/0［RｏｕｔerA－GigabitEthernet1／0/0］ip ａdｄress 20２、138.１6３.1 ２5５。

华为vpn解决方案篇一：华为：VPN实现企业VPN部署回顾网1中的操作系统VPN实现关于VPN（1）虚拟专用网络（Virtual Private Network，VPN）是专用网络的延伸，它包含了类似 Internet 的共享或公共网络链接。

通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。

（2）如果说得再通俗一点，VPN实际上是"线路中的线路"，类型于城市大道上的"公交专用线"，所不同的是，由VPN组成的"线路"并不是物理存在的，而是通过技术手段模拟出来，即是"虚拟"的。

不过，这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用"通道"，它具有良好的保密和不受干扰性，使双方能进行自由而安全的点对点连接，因此被网络管理员们非常广泛地关注着。

（3）本节的VPN服务器端使用Win2K；客户机端使用Win98。

2．配置VPN服务器（1）尚未配置：Win2K中的VPN包含在"路由和远程访问服务"中。

当你的Win2K服务器安装好之后，它也就随之自动存在了！不过此时当你打开"管理工具"中的"路由和远程访问"项进入其主窗口后，在左边的"树"栏中选中"服务器准状态"，即可从右边看到其"状态"正处于"已停止（未配置）"的情况下。

（2）开始配置：要想让Win2K计算机能接受客户机的VPN拨入，必须对VPN服务器进行配置。

在左边窗口中选中"SERVER"（服务器名），在其上单击右键，选"配置并启用路由和远程访问"。

（3）如果以前已经配置过这台服务器，现在需要重新开始，则在 "SERVER"（服务器名）上单击右键，选"禁用路由和远程访问"，即可停止此服务，以便重新配置！（4）当进入配置向导之后，在"公共设置"中，点选中"虚拟专用网络（VPN）服务器"，以便让用户能通过公共网络（比如Internet）来访问此服务器。

东用科技与华为防火墙构建IPSec VPN配置指导手册
IPSec VPN组网拓扑:
华为防火墙端配置指导(此处以多数客户使用专线上网形式为例)
将专网网线插入防火墙1接口。

使用网线连接PC与0接口，登录防火墙web界面：
防火墙通过静态IP接入互联网（网关地址、DNS服务器地址请向运营商索取）：
4、开启防火墙DHCP服务器：
5、配置防火墙安全策略与源NAT 以允许内网访问外网：
配置内外网接口参数
端与作为IPSec服务器的防火墙和防火墙内网之间通信
在网络→IPSec→IPSec→新建配置IPSec服务器策略并应用
路由器端配置指导：
ORB305
将SIM卡插入路由器卡槽
给设备上电，登入路由器web页面（默认为192.168.2.1）
进入网络→接口→连链路备份界面启用对应SIM卡并上调链路优先级，保存配置
对应SIM卡拨号成功，当前链路变为绿色
进入网络→VPN→IPSec界面进行路由器（IPSec VPN客户端）配置
保存并应用配置后即可进入状态→VPN页面看到IPSec VPN状态为已连接
ORB301
将SIM卡插入路由器卡槽
给设备上电，登入路由器web页面（默认为192.168.2.1）
进入VPN功能→IPSec→IPSec→进行路由器（IPSec VPN客户端）配置
保存并应用配置后即可进入状态页面看到IPSec VPN 状态为已连接。

IPSECVPN配置中keepalive和dpd的区别
ike dpd和ike sa nat-keepalive-timer interval命令都是⽤来检测隧道对端的设备是否⼯作正常，区别是ike dpd命令更节省带宽，该命令只在报⽂发送之前或隧道中没有报⽂时才会发送检测报⽂，⽽不是周期性的发送检测报⽂。

其中keepalive检测报⽂是私有的，必须应⽤在华为的设备上。

[USG5100]ike dpd ?
INTEGER<10-3600> dpd检测的时间间隔
interval 周期性发送dpd消息
on-demand 在需要时才发送dpd消息
如果没有指定interval或on-demand参数，DPD默认⼯作在流量触发模式。

如果指定interval参数，表⽰DPD⼯作在轮询模式，在发送报⽂之前发送⼀个DPD报⽂⽤来检测对端的设备是否正常。

interval参数表⽰定时发送。

轮询⽅式下就是根据配置的时间不间断的发送dpd报⽂，不管有没有业务报⽂。

如果指定on-demand参数，表⽰DPD⼯作在流量触发模式，当隧道中没有流量时才发送DPD报⽂⽤来检测对端的设备是否正常.on-demand参数，表⽰，包出发发送，当隧道没有流量时，也就是说对端没有发送esp报⽂的时间超过⼀定时间后，此时如果防⽕墙后⾯发送过来需要加密的数据此时会触发发送dpd报⽂。

----DPD是ike报⽂，密⽂。