- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
09-H3C MSR系列路由器 多分支采用野蛮模式建立IPsec VPN典型配置
本章节下载: 09-H3C MSR系列路由器 多分支采用野蛮模式建立IPsec VPN典型配置 (261.09 KB)
H3C MSR系列路由器
多分支采用野蛮模式建立IPsec VPN典型配置
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍H3C MSR系列路由器多分支采用野蛮模式建立IPsec VPN的典型配置方法。
本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解IPsec特性。
如图3-1所示,Device A为企业分支1网关,Device B为企业分支2网关,Device C为企业总部网关。Device A和Device B的采用PPPOE拨号上网方式连接Internet,Device C以固定IP地址1.1.1.1/24连接Internet。各企业分支之间、各企业分支与总部之间通过公网建立通信。
出于安全因素,需要对企业分支1与企业分支2之间相互访问的数据流进行安全保护,实现各企业分支内网通过与企业总部建立IPsec VPN隧道进行相互访问。
本举例是在R6749P15版本的MSR3610-X1路由器上进行配置和验证的。
在开始配置之前,请确保Device A、Device B和Device C已连接Internet,Device A、Device B与Device C的GE1/0/2接口之间IPv4报文路由可达。
(1) 配置各接口IP地址。
# 配置接口GigabitEthernet1/0/1的IP地址。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
(2) 配置ACL。
# 创建ACL 3000。
[DeviceA] acl number 3000
# 定义规则0:允许分支1子网192.168.1.0/24去往总部子网192.168.2.0/24的数据流。
[DeviceA-acl-adv-3000] rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
# 定义规则1:允许分支1子网192.168.1.0/24去往分支2子网192.168.3.0/24的数据流。
[DeviceA-acl-adv-3000] rule 1 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
[DeviceA-acl-adv-3000] quit
(3) 配置IKE提议。
# 创建IKE提议1。
[DeviceA] ike proposal 1
# 指定IKE提议使用的认证算法为HMAC-MD5。
[DeviceA-ike-proposal-1] authentication-algorithm md5
# 指定IKE提议使用的加密算法为3DES-CBC。
[DeviceA-ike-proposal-1] encryption-algorithm 3des-cbc
[DeviceA-ike-proposal-1] quit
(4) 配置本端身份信息。
# 配置标识本端身份的FQDN名称为RTA。
[DeviceA] ike identity fqdn RTA
(5) 配置IKE keychain。
# 创建并配置名为RTA的IKE keychain,指定与地址为1.1.1.1的对端使用的预共享密钥为明文123456TESTplat&!。
[DeviceA] ike keychain RTA
[DeviceA-ike-keychain-RTA] pre-shared-key address 1.1.1.1 key simple 123456TESTplat&!
[DeviceA-ike-keychain-RTA] quit
(6) 配置IKE profile。
# 创建IKE profile,名称为RTA。
[DeviceA] ike profile RTA
# 指定引用的IKE keychain为RTA。
[DeviceA-ike-profile-RTA] keychain RTA
# 配置第一阶段的协商模式为野蛮模式。
[DeviceA-ike-profile-RTA] exchange-mode aggressive
# 配置FQDN名RTA作为本端的身份标识。
[DeviceA-ike-profile-RTA] local-identity fqdn RTA
# 配置匹配对端身份的规则为FQDN名zongbu。
[DeviceA-ike-profile-RTA] match remote identity fqdn zongbu
# 引用的IKE提议为1。
[DeviceA-ike-profile-RTA] proposal 1
[DeviceA-ike-profile-RTA] quit
(7) 配置IPsec安全提议。
# 创建IPsec安全提议,名称为1。
[DeviceA] ipsec transform-set 1
# 配置安全协议对IP报文的封装形式为隧道模式。
[DeviceA-ipsec-transform-set-1] encapsulation-mode tunnel
# 配置采用的安全协议为ESP。
[DeviceA-ipsec-transform-set-1] protocol esp
# 配置ESP协议采用的加密算法为3DES-CBC,认证算法为HMAC-MD5。
[DeviceA-ipsec-transform-set-1] esp encryption-algorithm 3des-cbc
[DeviceA-ipsec-transform-set-1] esp authentication-algorithm md5
[DeviceA-ipsec-transform-set-1] quit
(8) 配置IPsec安全策略。
# 创建一条IKE协商方式的IPsec安全策略,名称为RTA,序列号为1。
[DeviceA] ipsec policy RTA 1 isakmp
[DeviceA-ipsec-policy-isakmp-RTA-1] security acl 3000
[DeviceA-ipsec-policy-isakmp-RTA-1] remote-address 1.1.1.1
[DeviceA-ipsec-policy-isakmp-RTA-1] ike-profile RTA
[DeviceA-ipsec-policy-isakmp-RTA-1] transform-set 1
[DeviceA-ipsec-policy-isakmp-RTA-1] quit
(9) 在接口下引用IPsec安全策略。
# 在接口Dialer10上应用IPsec安全策略RTA。(此处的拨号口Dialer10仅为示例,请以组网环境中的实际情况为准)。
[DeviceA] interface Dialer 10
[DeviceA-Dialer10] ipsec apply policy RTA
[DeviceA-Dialer10] quit
(1) 配置各接口IP地址。
# 配置接口GigabitEthernet1/0/1的IP地址。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 192.168.3.1 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
(2) 配置ACL。
# 创建ACL 3000。
[DeviceB] acl number 3000
# 定义规则0:允许分支2子网192.168.3.0/24去往总部子网192.168.2.0/24的数据流。
[DeviceB-acl-adv-3000] rule 0 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
# 定义规则1:允许分支2子网192.168.3.0/24去往分支1子网192.168.1.0/24的数据流。
[DeviceB-acl-adv-3000] rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[DeviceB-acl-adv-3000] quit
(3) 配置IKE提议。
# 创建IKE提议1。
[DeviceB] ike proposal 1
# 指定IKE提议使用的认证算法为HMAC-MD5。
[DeviceB-ike-proposal-1] authentication-algorithm md5
# 指定IKE提议使用的加密算法为3DES-CBC。
[DeviceB-ike-proposal-1] encryption-algorithm 3des-cbc
[DeviceB-ike-proposal-1] quit
(4) 配置本端身份信息。
# 配置标识本端身份的FQDN名称为RTB。
[DeviceB] ike identity fqdn RTB
(5) 配置IKE keychain。
# 创建并配置名为RTB的IKE keychain,指定与地址为1.1.1.1的对端使用的预共享密钥为明文123456TESTplat&!。
[DeviceB] ike keychain RTB
[DeviceB-ike-keychain-RTB] pre-shared-key address 1.1.1.1 key simple 123456TESTplat&!
[DeviceB-ike-keychain-RTB] quit
(6) 配置IKE profile。
# 创建IKE profile,名称为RTB。
[DeviceB] ike profile RTB
# 指定引用的IKE keychain为RTB。
[DeviceB-ike-profile-RTB] keychain RTB
# 配置第一阶段的协商模式为野蛮模式。
[DeviceB-ike-profile-RTB] exchange-mode aggressive
# 配置FQDN名RTB作为本端的身份标识。
[DeviceB-ike-profile-RTB] local-identity fqdn RTB
# 配置匹配对端身份的规则为FQDN名zongbu。
[DeviceB-ike-profile-RTB] match remote identity fqdn zongbu
# 引用的IKE提议为1。
[DeviceB-ike-profile-RTB] proposal 1
[DeviceB-ike-profile-RTB] quit
(7) 配置IPsec安全提议。
# 创建IPsec安全提议,名称为1。
[DeviceB] ipsec transform-set 1
# 配置安全协议对IP报文的封装形式为隧道模式。
[DeviceB-ipsec-transform-set-1] encapsulation-mode tunnel
# 配置采用的安全协议为ESP。
[DeviceB-ipsec-transform-set-1] protocol esp
# 配置ESP协议采用的加密算法为3DES-CBC,认证算法为HMAC-MD5。
[DeviceB-ipsec-transform-set-1] esp encryption-algorithm 3des-cbc
[DeviceB-ipsec-transform-set-1] esp authentication-algorithm md5
[DeviceB-ipsec-transform-set-1] quit
(8) 配置IPsec安全策略。
# 创建一条IKE协商方式的IPsec安全策略,名称为RTB,序列号为1。
[DeviceB] ipsec policy RTB 1 isakmp
[DeviceB-ipsec-policy-isakmp-RTB-1] security acl 3000
[DeviceB-ipsec-policy-isakmp-RTB-1] remote-address 1.1.1.1
[DeviceB-ipsec-policy-isakmp-RTB-1] ike-profile RTB
[DeviceB-ipsec-policy-isakmp-RTB-1] transform-set 1
[DeviceB-ipsec-policy-isakmp-RTB-1] quit
(9) 在接口下引用IPsec安全策略。
# 在接口Dialer10上应用IPsec安全策略RTB。(此处的拨号口Dialer10仅为示例,请以组网环境中的实际情况为准)。
[DeviceB] interface Dialer 10
[DeviceB-Dialer10] ipsec apply policy RTB
[DeviceB-Dialer10] quit
(1) 配置各接口IP地址。
# 配置接口GigabitEthernet1/0/1的IP地址。
<DeviceC> system-view
[DeviceC] interface gigabitethernet 1/0/1
[DeviceC-GigabitEthernet1/0/1] ip address 192.168.2.1 255.255.255.0
[DeviceC-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[DeviceC] interface gigabitethernet 1/0/2
[DeviceC-GigabitEthernet1/0/2] ip address 1.1.1.1 255.255.255.0
[DeviceC-GigabitEthernet1/0/2] quit
(2) 配置ACL 3000。
# 创建ACL 3000。
[DeviceC] acl number 3000
# 定义规则0:允许总部子网192.168.2.0/24去往分支1子网192.168.1.0/24的数据流。
[DeviceC-acl-adv-3000] rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
# 定义规则1:允许分支2子网192.168.3.0/24去往分支1子网192.168.1.0/24的数据流。
[DeviceC-acl-adv-3000] rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[DeviceC-acl-adv-3000] quit
(3) 配置ACL 3001。
# 创建ACL 3001。
[DeviceC] acl number 3001
# 定义规则0:允许总部子网192.168.2.0/24去往分支2子网192.168.3.0/24的数据流。
[DeviceC-acl-adv-3000] rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
# 定义规则1:允许分支1子网192.168.1.0/24去往分支2子网192.168.3.0/24的数据流。
[DeviceC-acl-adv-3000] rule 1 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
[DeviceC-acl-adv-3000] quit
(4) 配置IKE提议。
# 创建IKE提议1。
[DeviceC] ike proposal 1
# 指定IKE提议使用的认证算法为HMAC-MD5。
[DeviceC-ike-proposal-1] authentication-algorithm md5
# 指定IKE提议使用的加密算法为3DES-CBC。
[DeviceC-ike-proposal-1] encryption-algorithm 3des-cbc
[DeviceC-ike-proposal-1] quit
(5) 配置本端身份信息。
# 配置标识本端身份的FQDN名称为zongbu。
[DeviceC] ike identity fqdn zongbu
(6) 配置IKE keychain。
# 创建并配置名为RTA的IKE keychain,指定与FQDN名称为RTA的对端使用的预共享密钥为明文123456TESTplat&!。
[DeviceC] ike keychain RTA
[DeviceC-ike-keychain-RTA] pre-shared-key hostname RTA key simple 123456TESTplat&!
[DeviceC-ike-keychain-RTA] quit
# 创建并配置名为RTB的IKE keychain,指定与FQDN名称为RTB的对端使用的预共享密钥为明文123456TESTplat&!。
[DeviceC] ike keychain RTB
[DeviceC-ike-keychain-RTB] pre-shared-key hostname RTB key simple 123456TESTplat&!
[DeviceC-ike-keychain-RTB] quit
(7) 配置IKE profile RTA。
# 创建IKE profile,名称为RTA。
[DeviceC] ike profile RTA
# 指定引用的IKE keychain为RTA。
[DeviceC-ike-profile-RTA] keychain RTA
# 配置第一阶段的协商模式为野蛮模式。
[DeviceC-ike-profile-RTA] exchange-mode aggressive
# 配置FQDN名zongbu作为本端的身份标识。
[DeviceC-ike-profile-RTA] local-identity fqdn zongbu
# 配置匹配对端身份的规则为FQDN名RTA。
[DeviceC-ike-profile-RTA] match remote identity fqdn RTA
# 引用的IKE提议为1。
[DeviceC-ike-profile-RTA] proposal 1
[DeviceC-ike-profile-RTA] quit
(8) 配置IKE profile RTB。
# 创建IKE profile,名称为RTB。
[DeviceC] ike profile RTB
# 指定引用的IKE keychain为RTB。
[DeviceC-ike-profile-RTB] keychain RTB
# 配置第一阶段的协商模式为野蛮模式。
[DeviceC-ike-profile-RTB] exchange-mode aggressive
# 配置FQDN名zongbu作为本端的身份标识。
[DeviceC-ike-profile-RTB] local-identity fqdn zongbu
# 配置匹配对端身份的规则为FQDN名RTB。
[DeviceC-ike-profile-RTB] match remote identity fqdn RTB
# 引用的IKE提议为1。
[DeviceC-ike-profile-RTB] proposal 1
[DeviceC-ike-profile-RTB] quit
(9) 配置IPsec安全提议。
# 创建IPsec安全提议,名称为1。
[DeviceC] ipsec transform-set 1
# 配置安全协议对IP报文的封装形式为隧道模式。
[DeviceC-ipsec-transform-set-1] encapsulation-mode tunnel
# 配置采用的安全协议为ESP。
[DeviceC-ipsec-transform-set-1] protocol esp
# 配置ESP协议采用的加密算法为3DES-CBC,认证算法为HMAC-MD5。
[DeviceC-ipsec-transform-set-1] esp encryption-algorithm 3des-cbc
[DeviceC-ipsec-transform-set-1] esp authentication-algorithm md5
[DeviceC-ipsec-transform-set-1] quit
(10) 配置IPsec安全策略模板。
# 创建并配置名为t1、序列号为1的IPsec安全策略模板。
[DeviceC] ipsec policy-template t1 1
[DeviceC-ipsec-policy-template-t1-1] security acl 3000
[DeviceC-ipsec-policy-template-t1-1] ike-profile RTA
[DeviceC-ipsec-policy-template-t1-1] transform-set 1
[DeviceC-ipsec-policy-template-t1-1] quit
# 创建并配置名为t2、序列号为1的IPsec安全策略模板。
[DeviceC] ipsec policy-template t2 1
[DeviceC-ipsec-policy-template-t2-1] security acl 3001
[DeviceC-ipsec-policy-template-t2-1] ike-profile RTB
[DeviceC-ipsec-policy-template-t2-1] transform-set 1
[DeviceC-ipsec-policy-template-t2-1] quit
(11) 配置IKE协商方式的IPsec安全策略。
# 创建并配置名为zongbu、序列号为1的IPsec安全策略,基于安全策略模板t1创建。
[DeviceC] ipsec policy zongbu 1 isakmp template t1
# 创建并配置名为zongbu、序列号为2的IPsec安全策略,基于安全策略模板t2创建。
[DeviceC] ipsec policy zongbu 2 isakmp template t2
(12) 在接口下引用IPsec安全策略。
# 在接口GigabitEthernet1/0/2上应用IPsec安全策略zongbu。
[DeviceC] interface gigabitethernet 1/0/2
[DeviceC-GigabitEthernet1/0/2] ipsec apply policy zongbu
[DeviceC-GigabitEthernet1/0/2] quit
# 以Host A向Host C发起通信为例,从192.168.1.2 ping 192.168.2.2,会触发IPsec协商,建立IPsec隧道,在成功建立IPsec隧道后,可以ping通。
C:\Users> ping 192.168.2.2
Pinging 192.168.2.2 with 32 bytes of data:
Request timed out.
Reply from 192.168.2.2: bytes=32 time=2ms TTL=254
Reply from 192.168.2.2: bytes=32 time=2ms TTL=254
Reply from 192.168.2.2: bytes=32 time=1ms TTL=254
Ping statistics for 192.168.2.2:
Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 2ms, Average = 1ms
# Device A通过PPPOE拨号上网获取到的IP地址为2.2.2.1,此时在Device A上使用display ike sa命令,可以看到第一阶段的SA正常建立。
<DeviceA> display ike sa
Connection-ID Remote Flag DOI
------------------------------------------------------------------
13 1.1.1.1/500 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING
<DeviceA> display ike sa verbose
-----------------------------------------------
Connection ID: 13
Outside VPN:
Inside VPN:
Profile: RTA
Transmitting entity: Initiator
Initiator cookie: 1bcf453f0a217259
Responder cookie: 5e32a74dfa66a0a4
Output interface index: 2
-----------------------------------------------
Local IP/port: 2.2.2.1/500
Local ID type: FQDN
Local ID: RTA
Remote IP/port: 1.1.1.1/500
Remote ID type: IPV4_ADDR
Remote ID: 1.1.1.1
Authentication-method: PRE-SHARED-KEY
Authentication-algorithm: MD5
Encryption-algorithm: 3DES-CBC
Life duration(sec): 86400
Remaining key duration(sec): 84565
Exchange-mode: Aggressive
Diffie-Hellman group: Group 1
NAT traversal: Detected
Extend authentication: Disabled
Assigned IP address:
Vendor ID index: 0xa1d
Vendor ID sequence number: 0x0
# 再在Device A上使用display ipsec sa命令可以查看到IKE第二阶段协商生成的IPsec SA。
<DeviceA> display ipsec sa
-------------------------------
Interface: Dialer10
-------------------------------
-----------------------------
IPsec policy: RTA
Sequence number: 1
Alias: RTA-1
Mode: ISAKMP
-----------------------------
Tunnel id: 0
Encapsulation mode: tunnel
Perfect forward secrecy:
Inside VPN:
Extended Sequence Numbers enable: N
Traffic Flow Confidentiality enable: N
Transmitting entity: Initiator
Path MTU: 1435
Tunnel:
local address/port: 2.2.2.1/500
remote address/port: 1.1.1.1/500
Flow:
sour addr: 192.168.1.0/255.255.255.0 port: 0 protocol: ip
dest addr: 192.168.2.0/255.255.255.0 port: 0 protocol: ip
[Inbound ESP SAs]
SPI: 830667426 (0x3182faa2)
Connection ID: 90194313219
Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843200/2313
Max received sequence-number:
Anti-replay check enable: Y
Anti-replay window size: 64
UDP encapsulation used for NAT traversal: Y
Status: Active
[Outbound ESP SAs]
SPI: 3516214669 (0xd1952d8d)
Connection ID: 64424509441
Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843200/2313
Max sent sequence-number:
UDP encapsulation used for NAT traversal: Y
Status: Active
· Device A:
#
interface GigabitEthernet1/0/1
ip address 192.168.1.1 255.255.255.0
#
interface Dialer10
ipsec apply policy RTA
#
acl number 3000
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 1 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
#
ipsec transform-set 1
encapsulation-mode tunnel
protocol esp
esp encryption-algorithm 3des-cbc
esp authentication-algorithm md5
#
ipsec policy RTA 1 isakmp
ike-profile RTA
remote-address 1.1.1.1
security acl 3000
transform-set 1
#
ike identity fqdn RTA
#
ike keychain RTA
pre-shared-key address 1.1.1.1 255.255.255.0 key cipher $c$3$n6jdlYtuR+K6mijQ8
qp4hMMjV/iteA==
#
ike profile RTA
keychain RTA
exchange-mode aggressive
local-identity fqdn RTA
match remote identity fqdn zongbu
proposal 1
#
ike proposal 1
authentication-algorithm md5
encryption-algorithm 3des-cbc
#
· Device B:
#
interface GigabitEthernet1/0/1
ip address 192.168.3.1 255.255.255.0
#
interface Dialer10
ipsec apply policy RTB
#
acl number 3000
rule 0 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#
ipsec transform-set 1
encapsulation-mode tunnel
protocol esp
esp encryption-algorithm 3des-cbc
esp authentication-algorithm md5
#
ipsec policy RTB 1 isakmp
transform-set 1
security acl 3000
remote-address 1.1.1.1
ike-profile RTB
#
ike identity fqdn RTB
#
ike keychain RTB
pre-shared-key address 1.1.1.1 255.255.255.0 key cipher $c$3$n6jdlYtuR+K6mijQ8
qp4hMMjV/iteA==
#
ike profile RTB
keychain RTB
exchange-mode aggressive
local-identity fqdn RTB
match remote identity fqdn zongbu
proposal 1
#
ike proposal 1
authentication-algorithm md5
encryption-algorithm 3des-cbc
#
· Device C:
#
interface GigabitEthernet1/0/1
ip address 192.168.2.1 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 1.1.1.1 255.255.255.0
ipsec apply policy zongbu
#
acl number 3000
rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#
acl number 3001
rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule 1 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
#
ipsec transform-set 1
encapsulation-mode tunnel
protocol esp
esp encryption-algorithm 3des-cbc
esp authentication-algorithm md5
#
#
ipsec policy-template t1 1
security acl 3000
ike-profile RTA
transform-set 1
#
#
ipsec policy-template t2 1
security acl 3001
ike-profile RTB
transform-set 1
#
ipsec policy zongbu 1 isakmp template t1
ipsec policy zongbu 2 isakmp template t2
#
#
ike identity fqdn zongbu
#
ike keychain RTA
pre-shared-key hostname RTA key cipher $c$3$7tvgEkFh6On3KIybUaywz5NDiHtwJqU=
#
ike keychain RTB
pre-shared-key hostname RTB key cipher $c$3$3ErJJ2M1lhES32CdsR3ofs5CdLvPJGk=
#
ike profile RTA
keychain RTA
exchange-mode aggressive
local-identity fqdn zongbu
match remote identity fqdn RTA
proposal 1
#
ike profile RTB
keychain RTB
exchange-mode aggressive
local-identity fqdn zongbu
match remote identity fqdn RTB
proposal 1
#
ike proposal 1
authentication-algorithm md5
encryption-algorithm 3des-cbc
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
