H3C,华为和CISCO设备之间的ipsec vpn 配置实例

浏览数:30 / 时间:2015年06月20日

ISCO设备(PIX/ASA/ROUTER):外网口ip1.1.1.1  内网服务器:192.168.1.1

H3C secpath外网口ip2.2.2.2  内网服务器:192.168.2.2
通过ipsec vpn,允许两台服务器之间通讯

CISCO配置

#步骤1
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

#步骤2

crypto ipsec transform-setMyset esp-des esp-sha-hmac 
crypto map Myvpn 1 matchaddress VPN
crypto map Myvpn 1 set peer 2.2.2.2
crypto map Myvpn 1 settransform-set Myset
crypto map Myvpn interfaceoutsidecrypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

tunnel-group 2.2.2.2 type ipsec-l2l

tunnel-group 2.2.2.2 ipsec-attributes

pre-shared-key 123456

#定义感兴趣流量

access-list VPN extendedpermit ip host 192.168.1.1 host 192.168.2.2 




H3C的配置:

#
ike peer peermtom
pre-shared-key 123456
remote-address 1.1.1.1
local-address 2.2.2.2
#

#对应cisco的步骤1(蓝色标记的参数两边必须一致)

ike proposal 1
authentication-algorithm sha
authentication-method pre-share
encryption-algorithm 3des-cbc
dh group2
sa duration 86400
#

#对应cisco的步骤2(蓝色标记的参数两边必须一致)
ipsec proposal promtom  
encapsulation-mode tunnel 
transform esp
esp encryption-algorithm 3des
esp authentication-algorithm sha1
#

#
ipsec policy policymtom 10 isakmp
security acl 3333
ike-peer peermtom
proposal promtom
#

#定义感兴趣流量(必须与cisco中定义的感兴趣流量互为镜像)

acl number 3333
rule 0 permit ip source 192.168.2.2 0destination 192.168.1.1 0
rule 5 deny ip
#

#将内网服务器地址从nat转换列表中去除(应尽量放在第一行)


假设防火墙上用于NAT转换的acl为2000:
acl number 2000
rule 0 deny source 192.168.2.2 0
……

配置到对方内网服务器的静态路由

ip route-static 192.168.1.1 32  g1/0        (g1/0为防火墙外网口)


#在外网接口上应用ipsec
#int g1/0
ipsecpolicy policymtom


本文出自 “技术笨小孩” 博客,转载请与作者联系!

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。

标签: identity 服务器 enable 华为 policy identity 服务器 enable 华为 policy

相关文章

随机文章

您可能还喜欢

您可能还喜欢