H3C Comware V7 IpsecVpn

By | 04月24日
Advertisement

今天使用H3C MSR36-10路由器,OS是H3C Comware V7版本,配置了一下Ipsec Vpn,命令变化还不小,还好参考官方文档配置成功了,原V5平台的不多叙述。
官方文档地址:http://www.h3c.com.cn/Service/Document_Center/Routers/Catalog/MSR/MSR_5600/Command/Command_Manual/H3C_MSR_CR(V7)-6W103/11/201405/828589_30005_0.htm
具体路由器配置如下:

[Branch-MSR-3610]dis cu
#
 version 7.1.059, Release 0304
#
 sysname Branch-MSR-3610
#
 telnet server enable
#
 password-recovery enable
#
vlan 1
#
controller Cellular0/0
#
controller Cellular0/1
#
interface Aux0
#
interface NULL0
#
interface GigabitEthernet0/0
 port link-mode route
 description TO_waiwang-WAN
 combo enable copper
 ip address 113.97.129.10 255.255.255.0
 ipsec apply policy Branch
#
interface GigabitEthernet0/1
 port link-mode route
 description TO_neiwang-LAN
 ip address 100.44.4.2 255.255.255.0
#
interface GigabitEthernet0/2
 port link-mode route
#
 scheduler logfile size 16
#
line class aux
 user-role network-admin
#
line class tty
 user-role network-operator
#
line class vty
 user-role network-operator
#
line aux 0
 user-role network-admin
#
line vty 0 4
 authentication-mode scheme
 user-role network-operator
#
line vty 5 63
 user-role network-operator
#
 ip route-static 0.0.0.0 0 113.97.129.1
#
acl advanced 3000
 rule 10 permit ip source 100.44.4.0 0.0.0.255 destination 100.10.10.0 0.0.0.255
#
acl advanced 3900
 rule 10 deny ip source 100.44.4.0 0.0.0.255 destination 100.10.10.0 0.0.0.255
#
domain system
#
 domain default enable system
#
role name level-0
 description Predefined level-0 role
#
role name level-1
 description Predefined level-1 role
#
role name level-2
 description Predefined level-2 role
#
role name level-3
 description Predefined level-3 role
#
role name level-4
 description Predefined level-4 role
#
role name level-5
 description Predefined level-5 role
#
role name level-6
 description Predefined level-6 role
#
role name level-7
 description Predefined level-7 role
#
role name level-8
 description Predefined level-8 role
#
role name level-9
 description Predefined level-9 role
#
role name level-10
 description Predefined level-10 role
#
role name level-11
 description Predefined level-11 role
#
role name level-12
 description Predefined level-12 role
#
role name level-13
 description Predefined level-13 role
#
role name level-14
 description Predefined level-14 role
#
user-group system
#
local-user admin class manage
 password hash $h$6$DtT6MTV8L+TWencT$y+nCFfRsb6Gu7d0Rc85tpaWqaq3tdv4viPurrm+4ak5zQ6obmHYg==
 service-type telnet
 authorization-attribute user-role network-admin
 authorization-attribute user-role network-operator
#
ipsec transform-set Branch
 esp encryption-algorithm des-cbc
 esp authentication-algorithm md5
 pfs dh-group1
#
ipsec policy Branch 10 isakmp
 transform-set Branch
 security acl 3000
 remote-address 114.202.132.212
 ike-profile Branch
#
ike profile Branch   ###没有了IKE PEER 配置,换成了 ike profile
 keychain Branch
 proposal 10
#
ike proposal 10
 authentication-algorithm md5
#
ike keychain Branch    ###没有了IKE PEER 配置,换成了 ike keychain
 pre-shared-key address 114.202.132.212 255.255.255.255 key cipher $c$3$OraBlcTfbc1IXFPE4INI98rq
#
return

查看IKE IPSEC 是否建立成功

[Branch-MSR-3610]dis ike sa
    Connection-ID   Remote                Flag         DOI
------------------------------------------------------------------
    3604            114.202.132.212       RD           IPsec
Flags:
RD--READY RL--REPLACED FD-FADING

[Branch-MSR-3610]dis ipsec sa
-------------------------------
Interface: GigabitEthernet0/0
-------------------------------
  -----------------------------
  IPsec policy: Branch
  Sequence number: 10
  Mode: ISAKMP
  -----------------------------
    Tunnel id: 0
    Encapsulation mode: tunnel
    Perfect forward secrecy: dh-group1
    Inside VPN:
    Path MTU: 1443
    Tunnel:
        local  address: 113.97.129.10
        remote address: 114.202.132.212
    Flow:
        sour addr: 100.44.4.0/255.255.255.0  port: 0  protocol: ip
        dest addr: 100.10.10.0/255.255.255.0  port: 0  protocol: ip
    [Inbound ESP SAs]
      SPI: 2247051525 (0x85ef4905)
      Connection ID: 4294967296
      Transform set:  ESP-ENCRYPT-DES-CBC ESP-AUTH-MD5
      SA duration (kilobytes/sec): 1843200/3600
      SA remaining duration (kilobytes/sec): 1833773/3456
      Max received sequence-number: 16699
      Anti-replay check enable: Y
      Anti-replay window size: 64
      UDP encapsulation used for NAT traversal: N
      Status: Active
    [Outbound ESP SAs]
      SPI: 4091890288 (0xf3e54a70)
      Connection ID: 4294967297
      Transform set:  ESP-ENCRYPT-DES-CBC ESP-AUTH-MD5
      SA duration (kilobytes/sec): 1843200/3600
      SA remaining duration (kilobytes/sec): 1837001/3456
      Max sent sequence-number: 16332
      UDP encapsulation used for NAT traversal: N
      Status: Active

连接成功!

Similar Posts:

  • H3C Comware CLI视图

    与Cisco IOS系统一样,H3C的Comware可同时应用于交换机和路由器产品.在其中包括了许多不同的视图,不同视图对应可用的不同命令,如表2-1所示.相对Cisco IOS系统的配置模式来说,Comware的命令视图更水平化,没有太多的视图嵌套,总体来就是两种视图:用户视图和系统视图(相当于Cisco IOS系统中的"配置模式"),其他视图都是作系统视图的子视图而存在的,由系统视图进入的.本书仅以H3C的主要路由器系列--MSR系列的各功能配置进行介绍,SR系列的配置基本上也一样

  • 深度开放与融合——H3C SDN架构解析

    长期以来,网络技术总是以被动方式进行演变,并且大量的技术革新都落地在网络设备本身,如带宽不断提升,从千兆到万兆.再到40G和100G:设备体系架构变化,也是为了性能地不断提升,从交换能力几十Gbps提升到T级别以致100T级别:组网变化,网络设备的N:1集群性质的虚拟化,在一定范围内和一定规模上优化了网络架构,简化了网络设计:大二层网络技术,通过消除环路因素,支持了虚拟化条件下的虚机大范围二层扩散性计算. 新的技术商用,总会引起设备的升级换代,并且随着流量的巨大变化,网络的部署与变更技术上越来越

  • 命令行的历史命令记录

    H3C Comware 5系统也会像我们平时所使用的Windows系统的命令行一样,将用户最近使用的历史命令自动保存到历史命令缓存区,用户可以随时了解最近执行成功了哪些操作以及调用保存的历史命令,并重复执行. 默认情况下,Comware 5命令行接口为每个用户保存最近所输入的10条历史命令,但用户可以通过"history-command max-size size-value"用户视图命令来设置当前用户界面历史命令缓冲区的最大容量.参数size-value的取值范围为0~256.但如果

  • H3C无线控制器与LDAP服务器配合进行本地Portal认证典型配置举例(V7)

  • 新一代互联网的冲击波(2)路线之争 思科 VS H3C

    在新一代互联网前进的道路上,一条名为标准实为封闭的技术路线的出现,冲击了互联网一向引以为耀的开放精神.是可能被技术挟持还是更多自由选择--思科和H3C两大网络巨头为代表的技术路线之争,对于用户而言,没有围观,只有明辨. 路线之争 如果说早期系统的封闭是由于整个产业的不完善所造成,但自从IBM PC标准开放以来,IT产业迅速成熟,时至今日完全改变了社会信息的传递模式.标准化的系统可以在短时间内迅速成熟,是因为在开放的系统中,标准是由几个大厂主导协商出来.标准制定的过程可以看见各种妥协的影子,甚至有

  • Juniper-SSG-策略模式的IPSEC-VPN之配置终结篇

    Juniper-SSG,Site to Stie的ipsec-vpn在国内应用是非常广的,毕竟在07-10年算是国内防火墙中比较出彩又讨网工喜欢的系列.所以今天再次重新梳理一次IPSEC-VPN的web配置方法,温故而知新,可以为师矣. 为什么标题写的是,策略模式的VPN.对,ipsec-vpn也分路由模式和策略模式. 俩者有哪些不同的地方呢?其实这个和TCP/IP的理论挂钩了 俩者ipsec-vpn的实现原理过程解释: ①基于策略的IPsec VPN:通过防火墙策略将数据丢进VPN隧道 ②基于

  • linux下telnet到h3c交换机Backspace无效

    问题 linux 下telnet 登录H3C 3650交换机,登录前没有问题,当进入到H3C后,发现敲入命令后不能回退(就是使用Backspace无效),如果发现一条命令敲错了就很麻烦了 解决 1.用Ctrl-H回退 2.用左光标键向前移动,再用Backspace自动向后删除 其它 Gnome下:打开终端,菜单上选择Edit->Profiles->Edit->Compatibility,将Backspace key generates的值从ASCII DEL改为Control-H. 参考

  • 建议802.1X(H3C、华为交换机)+Dynamic VLANs时vlan-id匹配使用十六进制方式

    之前在H3C交换机下配置802.1x时,按照我的习惯,会在建议的domain 中,使用如下命令: vlan-assignment-mode string 意思是vlan匹配使用字符串模式,在这种方式下,IAS(Radius Server)中Tunnel-Pvt-Group-ID,会填写vlan的name属性,例如:it-dept,这个配置在H3C环境下使用得非常好. 但是以我的经验,不是所有的交换机都会有vlan-name属性(倒是基本都有vlan-description属性).因此当环境中有多

  • 基于NAT以Cisco ASA5520为中心与Juniper SRX650的ipsecVPN

    本篇主要介绍两点,第一是如何做ASA与juniper防火墙vpn,第二是如何将两段VPN衔接起来,中间将加上NAT的方式 1)LINUX FW与ASA的vpn架设(这里用到的都是IPSEC VPN,ike版本为ikev1) 首先网络环境要是通的,如默认路由等. linux防火墙基本配置如下: type=tunnel left=1.1.1.1 leftsubnet=172.16.1.0/24 right=2.2.2.2 rightsubnet=192.168.0.0/24 esp=aes128-s

  • H3C交换机802.1x用户的RADIUS AAA方案配置示例

    以下内容摘自刚刚上市的四本网络设备新书之一<H3C交换机配置与管理完全手册>(第二版),其它三本分别是:<Cisco交换机配置与管理完全手册>(第二版).<Cisco路由器配置与管理完全手册>(第二版)和<H3C路由器配置与管理完全手册>(第二版).目前在当当网上同时购买这四本新书,可直减30元,点击查看:http://book.dangdang.com/20130730_aife: 在互动出版网上同时购买这四本新书,可赠送一个8G云U盘(另送15G云空间)

Tags: