如何解决企业集团公司与子公司之间的网络对接(三)
前几天,有人私信我如何用命令行配置IPSEC,今天我们就来说一下如何通过命令行进行配置,首先我们要准备一条console线和一条USB转COM线。
一、如何打开超级终端
1.把带有USB的一端插座笔记本上面,先使用驱动精灵(或驱动人生)直接的把usb转console调试线驱动打上去
2.查看usb转console调试线的驱动安装情况
3.也可以点击电脑的右下角,查看usb转console调试线是否已经安装好
4.如何修改usb转console调试线的COM接口
就在此处修改即可
5.下面使用usb转console调试线连接路由交换设备一端连接在你的电脑的USB接口上面
另一端连接在三层交换机的console上面
6.安装好超级终端工具,并安装下面的要求,9600,8,无,1来设置,当一切都配置好后,点击“连接”
上面的连接完成后,直接的回车就会出现调试的界面,如果有设置本地的安装登录的话,你需要输入本地的帐号和密码,不然是登录不上去的,如果本地路由器配置了密码,那么一定要管理好密码,如果密码忘记了的话是一件非常麻烦的事情,需要恢复到默认的出厂设置,但是为了安装考虑,一般是需要配置的,到此如何打开调试模式介绍完毕。
二、如何命令调试IPsec
IPSEC VPN
工作方式:传输、隧道。
安全协议:AH、ESP、AH+ESP。
工作模式:主模式、野蛮模式。
主模式:公网链路两端,都需要配置固定IP地址。验证复杂,安全性高。
野蛮模式:一端IP地址固定,另一端IP地址可以由服务器随机下发。安全性差。
主模式配置方式
创建IPSEC 安全提议
[H3C]ipsec transform-set 1
选择工作方式
[H3C-ipsec-transform-set-1]encapsulation-mode tunnel ( 默认为隧道模式 )
选择安全协议
[H3C-ipsec-transform-set-1]protocol esp (默认为ESP加密认证方式)
采用哪种方式进行加密
[H3C-ipsec-transform-set-1]esp authentication-algorithm md5 (需要手工配置)
[H3C-ipsec-transform-set-1]esp encryption-algorithm des-cbc (加密为DES,验证为md5)
创建IKE的域共享秘钥KEYCHAIN
[H3C]ike keychain 1
[H3C-ike-keychain-1]pre-shared-key address 30.1.1.2 key simple 123
创建IKE模板、生成IKE sa
[H3C-ike-profile-1]keychain 1 (绑定IKE的域共享秘钥)
[H3C-ike-profile-1]exchange-mode main (工作模式默认为主模式)
[H3C-ike-profile-1]local-identity address 20.1.1.1 (本地域名)
[H3C-ike-profile-1]match remote identity address 30.1.1.2 (对端域名)
配置ACL 对需要封装的数据进行抓取
[H3C]acl advanced 3000
[H3C-acl-ipv4-adv-3000]rule 0 permit ip source 192.168.1.1 0 d 192.168.2.1 0
创建IPSEC 策略模板,绑定ACL ,IKE 模板,安全提议。
[H3C]ipsec policy 1 10 isakmp (序列号10 、自动生成ipsec sa)
[H3C-ipsec-policy-isakmp-1-10]security acl 3000
[H3C-ipsec-policy-isakmp-1-10]ike-profile 1
[H3C-ipsec-policy-isakmp-1-10]transform-set 1
[H3C-ipsec-policy-isakmp-1-10]remote-address 30.1.1.2 (绑定,声明寻址的对端地址)
创建好的IPSEC 模板,应用在端口。
[H3C]int g0/0
[H3C-GigabitEthernet0/0]ipsec apply policy 1
对私网地址进行引流封装
[H3C]ip route-static 192.168.2.1 32 20.1.1.2
公网可通
[H3C]ip route-static 30.1.1.0 24 20.1.1.2
静态可以合并为
[H3C]ip route-static 0.0.0.0 0 20.1.1.2
ping 包 第一个不通, 进行IKE 协商。
野蛮模式配置方式
IP地址不固定端
<H3C>sys
[H3C]int g0/0
[H3C-GigabitEthernet0/0]ip address dhcp-alloc
[H3C-GigabitEthernet0/0]int lo0
[H3C-LoopBack0]ip a 192.168.1.1 32
修改设备域名
[H3C]ike identity fqdn xxx
创建安全提议
[H3C]ipsec transform-set 1
[H3C-ipsec-transform-set-1]esp authentication-algorithm md5
[H3C-ipsec-transform-set-1]esp encryption-algorithm des-cbc
创建域共享秘钥
[H3C]ike keychain 1
[H3C-ike-keychain-1]pre-shared-key address 30.1.1.2 key simple 123
(对端IP如果固定,则必须添加对端的地址)
创建IKE 模板,并选择工作模式为野蛮模式
[H3C]ike profile 1
[H3C-ike-profile-1]keychain 1
[H3C-ike-profile-1]exchange-mode aggressive
[H3C-ike-profile-1]match remote identity fqdn ccc
[H3C-ike-profile-1]local-identity fqdn xxx
ACL抓取规则
[H3C]acl advanced 3000
[H3C-acl-ipv4-adv-3000]rule 0 p ip source 192.168.1.1 0 d 192.168.2.1 0
创建IPSEC 模板,绑定。
[H3C]ipsec policy 1 10 isakmp
[H3C-ipsec-policy-isakmp-1-10]security acl 3000
[H3C-ipsec-policy-isakmp-1-10]transform-set 1
[H3C-ipsec-policy-isakmp-1-10]ike-profile 1
[H3C-ipsec-policy-isakmp-1-10]remote-address 30.1.1.2
在接口下使用IPSEC 策略模板
[H3C]int g0/0
[H3C-GigabitEthernet0/0]ipsec apply policy 1
[H3C]ip route-static 0.0.0.0 0 20.1.1.2
IP 地址固定端。
[H3C]int g0/0
[H3C-GigabitEthernet0/0]ip a 30.1.1.2 24
[H3C-GigabitEthernet0/0]int lo0
[H3C-LoopBack0]ip a 192.168.2.1 32
[H3C]ike identity fqdn ccc
创建安全提议模板
[H3C]ipsec transform-set 1
[H3C-ipsec-transform-set-1]esp encryption-algorithm des-cbc
[H3C-ipsec-transform-set-1]esp authentication-algorithm md5
域共享秘钥
[H3C]ike keychain 1
[H3C-ike-keychain-1]pre-shared-key hostname xxx key simple 123
IKE 模板
[H3C]ike profile 1
[H3C-ike-profile-1]keychain 1
[H3C-ike-profile-1]match remote identity fqdn xxx
[H3C-ike-profile-1]exchange-mode aggressive
创建IPSEC 策略模板。模板不绑定ACL ,对端IP 地址不固定,不能主动发起链接,在发起连接后可直接根据已生成的IPSEC VPN 传递数据,且对应多个设备,若配置ACL ,配置复杂,添加的数据多,一般模板用于总公司,IP 地址固定的一端。
模板绑定的只有安全提议和IKE ,不添加对端IP 地址,因为对端设备IP地址不固定。
若添加端对设备的域名,则不能通信,因为域名非IP地址。
[H3C]ipsec policy-template 1 10
[H3C-ipsec-policy-template-1-10]transform-set 1
[H3C-ipsec-policy-template-1-10]ike-profile 1
[H3C]ipsec policy 1 10 isakmp template 1
[H3C-GigabitEthernet0/0]ipsec apply policy 1
[H3C]ip route-static 0.0.0.0 0 30.1.1.1
请先 后发表评论~