14-ipsec快速配置配置指导
本章节下载: 14-ipsec快速配置配置指导 (210.25 KB)
由于连锁酒店分支机构众多,IPSec VPN业务的部署和维护非常复杂,给管理员的工作带来非常大的挑战:“VPN业务多变,管理复杂”,现有标准IPSec VPN的配置比较繁琐,组网变化带来的配置改动比较大。因此急需提供一种易用性更好,配置更简洁的解决方案。IPSec 快速配置就是在这样的场景下应运而生的。IPSec快速配置具体的改进措施如下:
· 隐藏IKE/IPSec/tunnel口的创建过程,管理员只需配置本端分支名称,对端IP和预共享密钥。后台根据这些配置,自动生成对应的IKE、IPSec和tunnel口,其它相关参数均使用内置的默认参数。
· 感兴趣流不再配置,tunnel路由不再配置,管理员只需要配置本端的保护网段,即需要走IPSec的源网段。对端也是如此。当两端建立起IKE后,交互各自的保护网段,形成感兴趣流,同时以对端的保护网段为目的网段,生成对应的tunnel路由。
· 支持多线路备份,高优先级线路断开后,无缝切换到低优先级的线路;当高优先级线路恢复后,再切换回高优先级线路。
· NAT规则不再配置,管理员只需要配置哪些源网段转换为哪些目的网段。后台会自动生成对应的NAT规则。
· 隧道状态展示优化,页面显示隧道状态时,以分支名称为key,一条记录聚合显示该分支相关隧道的信息,便于查看,支持搜索。
表1-1 配置IPSec分支端
命令 |
说明 |
|
进入系统视图 |
system-view |
|
配置快速vpn配置视图 |
vpn ipsec easy-config |
- |
设置IPSec快速配置为分支端 |
node-type branch |
必选 |
设置快速vpn名称 |
node-name NAME |
必选 |
设置分支端名称 |
edit center NAME |
必选 |
表1-2 配置IPSec分支端对端网关
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置快速vpn配置视图 |
vpn ipsec easy-config |
|
设置IPSec快速配置为分支端 |
node-type branch |
必选 |
配置对端网关名称 |
edit center NAME |
必选 |
配置对端网关地址 |
peer-ip A.B.C.D |
必选 |
配置预共享秘钥 |
preshared-key SEC-KEY |
必选 |
表1-3 配置IPSec分支端线路
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置快速vpn配置视图 |
vpn ipsec easy-config |
- |
设置IPSec快速配置为分支端 |
node-type branch |
必选 |
配置对端网关名称 |
edit center NAME |
必选 |
配置线路设置 |
line NAME A.B.C.D |
选填 |
netmap A.B.C.D/M A.B.C.D/M |
选填 |
表1-4 配置IPSec中心端
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置快速vpn配置视图 |
vpn ipsec easy-config |
- |
设置IPSec快速配置为中心端 |
node-type center |
必选 |
设置快速vpn名称 |
node-name NAME |
必选 |
设置本端IP |
local-ip A.B.C.D |
必选 |
设置预共享密钥 |
preshared-key SEC-KEY |
必选 |
表1-5 配置IPSec中心端网段映射
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置快速vpn配置视图 |
vpn ipsec easy-config |
- |
设置IPSec快速配置为中心端 |
node-type center |
必选 |
配置网段映射 |
netmap A.B.C.D/M A.B.C.D/M |
选填 |
表1-6 配置IPSec保护接口
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置快速vpn配置视图 |
vpn ipsec easy-config |
- |
设置IPSec保护接口 |
prot-interface interface mask length |
必选 |
按表1-7配置IPSec保护网段。
表1-7 配置IPSec保护网段
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置快速vpn配置视图 |
vpn ipsec easy-config |
- |
设置IPSec保护网段 |
prot-subnet A.B.C.D/M |
必选 |
在设备 A 和设备 B之间建立两个安全隧道,对Host A 代表的子网(2.2.2.0/24)与Host B 代表的子网(13.13.13.0/24)之间的数据流进行安全保护。
图1-1 配置vpn快速组网图
· 中心设备快速VPN配置。
· 分支设备快速VPN配置。
(1) 中心设备快速VPN配置
host(config)# vpn ipsec easy-config
host(config-easy-ipsec)# node-name 设备-A中心
host(config-easy-ipsec)# node-type center
host(config-easy-ipsec)# local-ip 172.16.1.1
host(config-easy-ipsec)# local-ip 172.16.2.1
host(config-easy-ipsec)# preshared-key 123321
host(config-easy-ipsec)# prot-subnet 2.2.2.0/24
host(config)# exit
(2) 分支设备快速VPN配置
host# system-view
host(config)# vpn ipsec easy-config
host(config-easy-ipsec)# node-name 设备-A
host(config-easy-ipsec)# edit center 中心设备
host(config-easy-ipsec-中心设备)# peer-ip 172.16.1.1
host(config-easy-ipsec-中心设备)# peer-ip 172.16.2.1
host(config-easy-ipsec-中心设备)# line 1 172.16.1.1
host(config-easy-ipsec-中心设备)# line 2 172.16.2.1
host(config-easy-ipsec-中心设备)# preshared-key 123321
host(config-easy-ipsec-中心设备)# exit
host(config-easy-ipsec)# prot-subnet 13.13.13.0/24
host(config)# exit
通过执行display running-config ipsec-vpn命令来验证配置
host# display running-config ipsec-vpn
vpn ipsec easy-config
node-name 设备-A中心
node-type center
local-ip 172.16.1.1
local-ip 172.16.2.1
preshared-key secret y2W944LQCrXo3LokfLd7xboPY/hQUCG4RYmPqrfULxfzcn0RoSA+iBQusPHf42G
prot-subnet 2.2.2.0/24
!
vpn ipsec easy-config
node-name 设备-A
edit center 中心设备
preshared-key secret y2W944LQCrXo3LokfLd7xboPY/hQUCG4RYmPqrfULxfzcn0RoSA+iBQusPHf42G
peer-ip 172.16.1.1
peer-ip 172.16.2.1
line 1 172.16.1.1
line 2 172.16.2.1
exit
prot-subnet 13.13.13.0/24
!
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!