如何解决企业集团公司与子公司之间的网络对接(三)

2020-04-07 20:55·种花家的老兔子

前几天,有人私信我如何用命令行配置IPSEC,今天我们就来说一下如何通过命令行进行配置,首先我们要准备一条console线和一条USB转COM线。



一、如何打开超级终端

1.把带有USB的一端插座笔记本上面,先使用驱动精灵(或驱动人生)直接的把usb转console调试线驱动打上去

2.查看usb转console调试线的驱动安装情况

3.也可以点击电脑的右下角,查看usb转console调试线是否已经安装好

4.如何修改usb转console调试线的COM接口

就在此处修改即可

5.下面使用usb转console调试线连接路由交换设备一端连接在你的电脑的USB接口上面

另一端连接在三层交换机的console上面

6.安装好超级终端工具,并安装下面的要求,9600,8,无,1来设置,当一切都配置好后,点击“连接”

上面的连接完成后,直接的回车就会出现调试的界面,如果有设置本地的安装登录的话,你需要输入本地的帐号和密码,不然是登录不上去的,如果本地路由器配置了密码,那么一定要管理好密码,如果密码忘记了的话是一件非常麻烦的事情,需要恢复到默认的出厂设置,但是为了安装考虑,一般是需要配置的,到此如何打开调试模式介绍完毕。


二、如何命令调试IPsec



IPSEC VPN

工作方式:传输、隧道。

安全协议:AH、ESP、AH+ESP。

工作模式:主模式、野蛮模式。

主模式:公网链路两端,都需要配置固定IP地址。验证复杂,安全性高。

野蛮模式:一端IP地址固定,另一端IP地址可以由服务器随机下发。安全性差。

主模式配置方式

创建IPSEC 安全提议

[H3C]ipsec transform-set 1

选择工作方式

[H3C-ipsec-transform-set-1]encapsulation-mode tunnel ( 默认为隧道模式 )

选择安全协议

[H3C-ipsec-transform-set-1]protocol esp (默认为ESP加密认证方式)

采用哪种方式进行加密

[H3C-ipsec-transform-set-1]esp authentication-algorithm md5 (需要手工配置)

[H3C-ipsec-transform-set-1]esp encryption-algorithm des-cbc (加密为DES,验证为md5)

创建IKE的域共享秘钥KEYCHAIN

[H3C]ike keychain 1

[H3C-ike-keychain-1]pre-shared-key address 30.1.1.2 key simple 123

创建IKE模板、生成IKE sa

[H3C-ike-profile-1]keychain 1 (绑定IKE的域共享秘钥)

[H3C-ike-profile-1]exchange-mode main (工作模式默认为主模式)

[H3C-ike-profile-1]local-identity address 20.1.1.1 (本地域名)

[H3C-ike-profile-1]match remote identity address 30.1.1.2 (对端域名)

配置ACL 对需要封装的数据进行抓取

[H3C]acl advanced 3000

[H3C-acl-ipv4-adv-3000]rule 0 permit ip source 192.168.1.1 0 d 192.168.2.1 0

创建IPSEC 策略模板,绑定ACL ,IKE 模板,安全提议。

[H3C]ipsec policy 1 10 isakmp (序列号10 、自动生成ipsec sa)

[H3C-ipsec-policy-isakmp-1-10]security acl 3000

[H3C-ipsec-policy-isakmp-1-10]ike-profile 1

[H3C-ipsec-policy-isakmp-1-10]transform-set 1

[H3C-ipsec-policy-isakmp-1-10]remote-address 30.1.1.2 (绑定,声明寻址的对端地址)

创建好的IPSEC 模板,应用在端口。

[H3C]int g0/0

[H3C-GigabitEthernet0/0]ipsec apply policy 1

对私网地址进行引流封装

[H3C]ip route-static 192.168.2.1 32 20.1.1.2

公网可通

[H3C]ip route-static 30.1.1.0 24 20.1.1.2

静态可以合并为

[H3C]ip route-static 0.0.0.0 0 20.1.1.2

ping 包 第一个不通, 进行IKE 协商。

野蛮模式配置方式

IP地址不固定端

<H3C>sys

[H3C]int g0/0

[H3C-GigabitEthernet0/0]ip address dhcp-alloc

[H3C-GigabitEthernet0/0]int lo0

[H3C-LoopBack0]ip a 192.168.1.1 32

修改设备域名

[H3C]ike identity fqdn xxx

创建安全提议

[H3C]ipsec transform-set 1

[H3C-ipsec-transform-set-1]esp authentication-algorithm md5

[H3C-ipsec-transform-set-1]esp encryption-algorithm des-cbc

创建域共享秘钥

[H3C]ike keychain 1

[H3C-ike-keychain-1]pre-shared-key address 30.1.1.2 key simple 123

(对端IP如果固定,则必须添加对端的地址)

创建IKE 模板,并选择工作模式为野蛮模式

[H3C]ike profile 1

[H3C-ike-profile-1]keychain 1

[H3C-ike-profile-1]exchange-mode aggressive

[H3C-ike-profile-1]match remote identity fqdn ccc

[H3C-ike-profile-1]local-identity fqdn xxx

ACL抓取规则

[H3C]acl advanced 3000

[H3C-acl-ipv4-adv-3000]rule 0 p ip source 192.168.1.1 0 d 192.168.2.1 0

创建IPSEC 模板,绑定。

[H3C]ipsec policy 1 10 isakmp

[H3C-ipsec-policy-isakmp-1-10]security acl 3000

[H3C-ipsec-policy-isakmp-1-10]transform-set 1

[H3C-ipsec-policy-isakmp-1-10]ike-profile 1

[H3C-ipsec-policy-isakmp-1-10]remote-address 30.1.1.2

在接口下使用IPSEC 策略模板

[H3C]int g0/0

[H3C-GigabitEthernet0/0]ipsec apply policy 1

[H3C]ip route-static 0.0.0.0 0 20.1.1.2

IP 地址固定端。

[H3C]int g0/0

[H3C-GigabitEthernet0/0]ip a 30.1.1.2 24

[H3C-GigabitEthernet0/0]int lo0

[H3C-LoopBack0]ip a 192.168.2.1 32

[H3C]ike identity fqdn ccc

创建安全提议模板

[H3C]ipsec transform-set 1

[H3C-ipsec-transform-set-1]esp encryption-algorithm des-cbc

[H3C-ipsec-transform-set-1]esp authentication-algorithm md5

域共享秘钥

[H3C]ike keychain 1

[H3C-ike-keychain-1]pre-shared-key hostname xxx key simple 123

IKE 模板

[H3C]ike profile 1

[H3C-ike-profile-1]keychain 1

[H3C-ike-profile-1]match remote identity fqdn xxx

[H3C-ike-profile-1]exchange-mode aggressive

创建IPSEC 策略模板。模板不绑定ACL ,对端IP 地址不固定,不能主动发起链接,在发起连接后可直接根据已生成的IPSEC VPN 传递数据,且对应多个设备,若配置ACL ,配置复杂,添加的数据多,一般模板用于总公司,IP 地址固定的一端。

模板绑定的只有安全提议和IKE ,不添加对端IP 地址,因为对端设备IP地址不固定。

若添加端对设备的域名,则不能通信,因为域名非IP地址。

[H3C]ipsec policy-template 1 10

[H3C-ipsec-policy-template-1-10]transform-set 1

[H3C-ipsec-policy-template-1-10]ike-profile 1

[H3C]ipsec policy 1 10 isakmp template 1

[H3C-GigabitEthernet0/0]ipsec apply policy 1

[H3C]ip route-static 0.0.0.0 0 30.1.1.1

举报
评论 0
    热门: