h3c配置vpn文档格式.docx
《h3c配置vpn文档格式.docx》由会员分享,可在线阅读,更多相关《h3c配置vpn文档格式.docx(18页珍藏版)》请在冰点文库上搜索。
VPN设置
<
1>
虚接口(即子接口),绑定接口,一条虚拟链路设置一个虚接口,最多可设置10个虚接口(ipsec0-ipsec9),可以任意选择,每个路由器上可以选择不同编号虚接口
2>
IKE安全提议(InternetKeyExchange,Internet密钥交换),注意对等体路由器之间的IKE验证算法、IKE加密算法、IKEDH组要相同,为了简单快捷使用默认参数即可
3>
IKE对等体,此处的参数比较多,对等体名称(可以任意设置,但要容易看得明白)、虚接口(选择你已设置好的虚接口的一个就好了)、对端地址(要填写这条虚拟链路对端的WAN口的IP地址)、协商模式(一般选择野蛮模式,主模式初步测试没通,未进行深入测试)、ID类型(选择IP类型)、安全提议(选择前面设置好的IKE)、预共享密钥(PSK)[指定共享的密钥,对等体之间的共享密钥要相同]、生命周期(可自己指定值也可以用系统默认的值,对等体之间的生命周期周期值要相同)、DPD(开启)、DPD周期(可指定值,对等体之间要相同,一般使用缺省值值)、DPD超时时间(可指定值,对等体之间要相同,一般使用就好了)
4>
IPSec安全提议,安全提议名称(可任意填写)、安全协议类型、ESP验证算法(ESP:
EncapsulatingSecurityPayload封装安全负载)、ESP加密算法,后三者可以手动指定也可以默认,注意对等体之间的保持相同
5>
IPSec安全策略,新增IPSec安全策略,安全策略名称(可任意填写)、是否启用(选择启用)、本地子网IP/掩码(按照你本地的网络情况填写就好了,如果本地有多个网络可分别每个网络增加一条IPSec安全策略,也可以用子网IP0.0.0.0掩码0.0.0.0来代表任意网络)、对端子网IP/(类似本地子网IP/掩码设置)、协商协商类型(选择IKE模式)、对等体(选择相应的虚拟口)、安全提议一(选择前面设置好的IPSec安全提议,后面的三个安全提议可以不填写)、PFS(PFS:
perfectforwardsecrecy完美前推安全,一种密码系统,在这里根据你的需求去设置吧,一般可不设置)、生命周期(缺省即可,也可自行指定,注意保持对等体之间的一致性)
3.高级设置
地址转换,NAT模式选择“不使用NAT转换”
路由设置,根据你的网络需要设置静态路由,静态路由配置包括目的地址(一个网络或子网)、子网掩码、下一跳地址,如果是使用了虚拟接口,在出接口直接选择所使用的虚接口、描述可任意
到此VPN的设置基本完成,对等体的路由器参照此进行设置就好了,设置完可进行测试ping,在每次路由器重启的第一次连接(包括Ping测试)的前面几个包会出现超时现象,这是对等体路由器之间在进行VPN初始化连接,当VPN之间有了数据传输时,在VPN\VPN状态上可以看到连接信息。
其他路由器参照上面的步骤进行设置
下面是一个VPN的详细设置:
(此处以H3CER5200和H3CER3260为例,H3CER5200与H3CER3260的web管理界面基本一致,除了LOGO,使用方法一样的。
)
网络结构图如下:
说明:
水玲珑公司总部在金鹰(JY),两分公司分别在东山口(DSK)和中环(ZH),通过VPN隧道技术使公司三个点之前可以互访。
金鹰:
网络192.192.0.0/24,路由器R1是H3CER5200,WAN1:
IP192.168.100.2/30,GT192.168.100.1,LAN1:
IP192.192.0.254/24
东山口:
网络192.192.10.0/24,路由器R2是H3CER3260,WAN1:
IP192.168.100.6/30,GT192.168.100.5,LAN1:
IP192.192.10.254/24
中环:
网络192.192.20.0/24,路由器R2是H3CER3260,WAN1:
IP192.168.100.10/30,GT192.168.100.9,LAN1:
IP192.192.20.254/24
R1:
设置IP
2.VPN设置
设置虚接口
设置IKE安全提议
设置IKE对等体
设置IPSec安全提议
设置IPSec安全策略
地址转换设置
路由设置
R2:
2.VPN设置
设置虚接口
R3:
最后
对等体之间连接成功后,VPN状态可以看到连接信息
R2