配置路由器配置
路由器配置 时间:2021-04-03 阅读:()
知GREVPNIPSecVPN史晓虎2019-08-21发表MSR2600-XX-X1/3610-X1系列路由器配置GREOVERIPSEC配置方法组网及说明1配置需求或说明1.
1适用产品系列本案例适用于如2600-6-X1、MSR2600-10-X1、MSR3600-28-X1、MSR3600-28-X1-DP等MSR2600-XX-X1、3610-X1系列的路由器.
1.
2配置需求及实现的效果RTA路由器外网口G0/0的地址为1.
1.
1.
1(模拟运营商公网固定地址环境),RTB路由器外网口G0/0的地址为2.
2.
2.
1(模拟运营商公网固定地址环境),两个路由器外网口地址之间路由可达可以互相ping通.
要对RTA路由器所在的内网(192.
168.
1.
0/24)与RTB路由器所在的内网(172.
16.
1.
0/24),实现两端内网终端通过GREoverIPsecVPN隧道进行互访.
2组网图配置步骤3配置步骤3.
1配置路由器基本上网#路由器基本上网配置省略,MSRV7路由器的上网具体设置步骤请参考"2.
1.
2路由器外网使用固定IP地址上网配置方法"章节中"MSR830-WiNet系列路由器基本上网(静态IP)命令行配置(V7)"案例3.
2设置A路由器#配置GRE隧道,system-viewSystemView:returntoUserViewwithCtrl+Z.
[H3C]interfaceTunnel0modegre[H3C-Tunnel0]ipaddress10.
1.
2.
124[H3C-Tunnel0]source1.
1.
1.
1[H3C-Tunnel0]destination2.
2.
2.
1#配置一个访问控制列表3000,定义由子网1.
1.
1.
0/24去子网2.
2.
2.
0/24的数据流,封装GRE数据流.
[H3C]acladvanced3000[H3C-acl-ipv4-adv-3000]rulepermitipsource1.
1.
1.
00.
0.
0.
255destination2.
2.
2.
00.
0.
0.
255[H3C-acl-ipv4-adv-3000]quit#配置公网口NAT要关联的ACl3001,作用是把IPSec感兴趣流从NAT转换的数据流deny掉,防止IPSec数据流被NAT优先转换[H3C]aclnumber3001[H3C-acl-adv-3001]rule0denyipsource1.
1.
1.
00.
0.
0.
255destination2.
2.
2.
00.
0.
0.
255[H3C-acl-adv-3001]rule1permitip[H3C-acl-adv-3001]quit#创建一条IKE提议1,指定IKE提议使用的认证算法为MD5,加密算法为3des-cbc[H3C]ikeproposal1[H3C-ike-proposal-1]authentication-algorithmmd5[H3C-ike-proposal-1]encryption-algorithm3des-cbc[H3C-ike-proposal-1]quit#创建并配置IKEkeychain,名称为RTA.
[H3C]ikekeychainRTA#配置对端IP地址为2.
2.
2.
1,使用的预共享密钥为明文123456[H3C-ike-keychain-RTA]pre-shared-keyaddress2.
2.
2.
1255.
255.
255.
0keysimple123456[H3C-ike-keychain-RTA]quit#创建并配置IKEprofile,名称为RTA,引用上面配置的keychainRTA,配置本地地址为本端的公网接口地址1.
1.
1.
1,对端地址为对端公网接口地址2.
2.
2.
1,引用之前配置IKE提议1[H3C]ikeprofileRTA[H3C-ike-profile-RTA]keychainRTA[H3C-ike-profile-RTA]local-identityaddress1.
1.
1.
1[H3C-ike-profile-RTA]matchremoteidentityaddress2.
2.
2.
1255.
255.
255.
0[H3C-ike-profile-RTA]proposal1[H3C-ike-profile-RTA]quit#配置IPsec安全提议1,ESP协议采用的加密算法为3des-cbc,认证算法为md5[H3C]ipsectransform-set1[H3C-ipsec-transform-set-1]espencryption-algorithm3des-cbc[H3C-ipsec-transform-set-1]espauthentication-algorithmmd5[H3C-ipsec-transform-set-1]quit#创建IPsec安全策略,名称为RTA,序列号为1,设置对端地址为对端公网地址2.
2.
2.
1,引用之前创建的ACL3000,引用之前创建的IKEprofileRTA,引用之前的IPSec安全提议1[H3C]ipsecpolicyRTA1isakmp[H3C-ipsec-policy-isakmp-RTA-1]remote-address2.
2.
2.
1[H3C-ipsec-policy-isakmp-RTA-1]securityacl3000[H3C-ipsec-policy-isakmp-RTA-1]transform-set1[H3C-ipsec-policy-isakmp-RTA-1]ike-profileRTA[H3C-ipsec-policy-isakmp-RTA-1]quit#设置外网口做NAT转换的时候关联ACL3001(如果之前已经在外网口配置了natoutbound,需要先undo掉),并将IPSec安全策略RTA应用在外网接口[H3C]interfaceGigabitEthernet0/0[H3C-GigabitEthernet0/0]undonatoutbound[H3C-GigabitEthernet0/0]natoutbound3001[H3C-GigabitEthernet0/0]ipsecapplypolicyRTA[H3C-GigabitEthernet0/0]quit#配置到对端内网的路由[H3C]iproute-static172.
16.
1.
024Tunnel0#保存配置[H3C]saveforce3.
3设置B路由器#配置GRE隧道,system-viewSystemView:returntoUserViewwithCtrl+Z.
[H3C]interfaceTunnel0modegre[H3C-Tunnel0]ipaddress10.
1.
2.
224[H3C-Tunnel0]source2.
2.
2.
1[H3C-Tunnel0]destination1.
1.
1.
1#配置一个访问控制列表3000,定义由子网1.
1.
1.
0/24去子网2.
2.
2.
0/24的数据流,封装GRE数据流.
[H3C]acladvanced3000[H3C-acl-ipv4-adv-3000]rulepermitipsource2.
2.
2.
00.
0.
0.
255destination1.
1.
1.
00.
0.
0.
255[H3C-acl-ipv4-adv-3000]quit#配置公网口NAT要关联的ACl3001,作用是把IPSec感兴趣流从NAT转换的数据流deny掉,防止IPSec数据流被NAT优先转换[H3C]aclnumber3001[H3C-acl-adv-3001]rule0denyipsource2.
2.
2.
00.
0.
0.
255destination1.
1.
1.
00.
0.
0.
255[H3C-acl-adv-3001]rule1permitip[H3C-acl-adv-3001]quit#创建一条IKE提议1,指定IKE提议使用的认证算法为MD5,加密算法为3des-cbc[H3C]ikeproposal1[H3C-ike-proposal-1]authentication-algorithmmd5[H3C-ike-proposal-1]encryption-algorithm3des-cbc[H3C-ike-proposal-1]quit#创建并配置IKEkeychain,名称为RTA.
[H3C]ikekeychainRTA#配置对端IP地址为1.
1.
1.
1,使用的预共享密钥为明文123456[H3C-ike-keychain-RTA]pre-shared-keyaddress1.
1.
1.
1255.
255.
255.
0keysimple123456[H3C-ike-keychain-RTA]quit#创建并配置IKEprofile,名称为RTA,引用上面配置的keychainRTA,配置本地地址为本端的公网接口地址2.
2.
2.
1,对端地址为对端公网接口地址1.
1.
1.
1,引用之前配置IKE提议1[H3C]ikeprofileRTA[H3C-ike-profile-RTA]keychainRTA[H3C-ike-profile-RTA]local-identityaddress2.
2.
2.
1[H3C-ike-profile-RTA]matchremoteidentityaddress1.
1.
1.
1255.
255.
255.
0[H3C-ike-profile-RTA]proposal1[H3C-ike-profile-RTA]quit#配置IPsec安全提议1,ESP协议采用的加密算法为3des-cbc,认证算法为md5[H3C]ipsectransform-set1[H3C-ipsec-transform-set-1]espencryption-algorithm3des-cbc[H3C-ipsec-transform-set-1]espauthentication-algorithmmd5[H3C-ipsec-transform-set-1]quit#创建IPsec安全策略,名称为RTA,序列号为1,设置对端地址为对端公网地址1.
1.
1.
1,引用之前创建的ACL3000,引用之前创建的IKEprofileRTA,引用之前的IPSec安全提议1[H3C]ipsecpolicyRTA1isakmp[H3C-ipsec-policy-isakmp-RTA-1]remote-address1.
1.
1.
1[H3C-ipsec-policy-isakmp-RTA-1]securityacl3000[H3C-ipsec-policy-isakmp-RTA-1]transform-set1[H3C-ipsec-policy-isakmp-RTA-1]ike-profileRTA[H3C-ipsec-policy-isakmp-RTA-1]quit#设置外网口做NAT转换的时候关联ACL3001(如果之前已经在外网口配置了natoutbound,需要先undo掉),并将IPSec安全策略RTA应用在外网接口[H3C]interfaceGigabitEthernet0/0[H3C-GigabitEthernet0/0]undonatoutbound[H3C-GigabitEthernet0/0]natoutbound3001[H3C-GigabitEthernet0/0]ipsecapplypolicyRTA[H3C-GigabitEthernet0/0]quit#配置到对端内网的路由[H3C]iproute-static192.
168.
1.
024Tunnel0#保存配置[H3C]saveforce3.
4验证配置结果#在RTA路由器上带源pingRTB路由器内网网关地址配置关键点
1适用产品系列本案例适用于如2600-6-X1、MSR2600-10-X1、MSR3600-28-X1、MSR3600-28-X1-DP等MSR2600-XX-X1、3610-X1系列的路由器.
1.
2配置需求及实现的效果RTA路由器外网口G0/0的地址为1.
1.
1.
1(模拟运营商公网固定地址环境),RTB路由器外网口G0/0的地址为2.
2.
2.
1(模拟运营商公网固定地址环境),两个路由器外网口地址之间路由可达可以互相ping通.
要对RTA路由器所在的内网(192.
168.
1.
0/24)与RTB路由器所在的内网(172.
16.
1.
0/24),实现两端内网终端通过GREoverIPsecVPN隧道进行互访.
2组网图配置步骤3配置步骤3.
1配置路由器基本上网#路由器基本上网配置省略,MSRV7路由器的上网具体设置步骤请参考"2.
1.
2路由器外网使用固定IP地址上网配置方法"章节中"MSR830-WiNet系列路由器基本上网(静态IP)命令行配置(V7)"案例3.
2设置A路由器#配置GRE隧道,system-viewSystemView:returntoUserViewwithCtrl+Z.
[H3C]interfaceTunnel0modegre[H3C-Tunnel0]ipaddress10.
1.
2.
124[H3C-Tunnel0]source1.
1.
1.
1[H3C-Tunnel0]destination2.
2.
2.
1#配置一个访问控制列表3000,定义由子网1.
1.
1.
0/24去子网2.
2.
2.
0/24的数据流,封装GRE数据流.
[H3C]acladvanced3000[H3C-acl-ipv4-adv-3000]rulepermitipsource1.
1.
1.
00.
0.
0.
255destination2.
2.
2.
00.
0.
0.
255[H3C-acl-ipv4-adv-3000]quit#配置公网口NAT要关联的ACl3001,作用是把IPSec感兴趣流从NAT转换的数据流deny掉,防止IPSec数据流被NAT优先转换[H3C]aclnumber3001[H3C-acl-adv-3001]rule0denyipsource1.
1.
1.
00.
0.
0.
255destination2.
2.
2.
00.
0.
0.
255[H3C-acl-adv-3001]rule1permitip[H3C-acl-adv-3001]quit#创建一条IKE提议1,指定IKE提议使用的认证算法为MD5,加密算法为3des-cbc[H3C]ikeproposal1[H3C-ike-proposal-1]authentication-algorithmmd5[H3C-ike-proposal-1]encryption-algorithm3des-cbc[H3C-ike-proposal-1]quit#创建并配置IKEkeychain,名称为RTA.
[H3C]ikekeychainRTA#配置对端IP地址为2.
2.
2.
1,使用的预共享密钥为明文123456[H3C-ike-keychain-RTA]pre-shared-keyaddress2.
2.
2.
1255.
255.
255.
0keysimple123456[H3C-ike-keychain-RTA]quit#创建并配置IKEprofile,名称为RTA,引用上面配置的keychainRTA,配置本地地址为本端的公网接口地址1.
1.
1.
1,对端地址为对端公网接口地址2.
2.
2.
1,引用之前配置IKE提议1[H3C]ikeprofileRTA[H3C-ike-profile-RTA]keychainRTA[H3C-ike-profile-RTA]local-identityaddress1.
1.
1.
1[H3C-ike-profile-RTA]matchremoteidentityaddress2.
2.
2.
1255.
255.
255.
0[H3C-ike-profile-RTA]proposal1[H3C-ike-profile-RTA]quit#配置IPsec安全提议1,ESP协议采用的加密算法为3des-cbc,认证算法为md5[H3C]ipsectransform-set1[H3C-ipsec-transform-set-1]espencryption-algorithm3des-cbc[H3C-ipsec-transform-set-1]espauthentication-algorithmmd5[H3C-ipsec-transform-set-1]quit#创建IPsec安全策略,名称为RTA,序列号为1,设置对端地址为对端公网地址2.
2.
2.
1,引用之前创建的ACL3000,引用之前创建的IKEprofileRTA,引用之前的IPSec安全提议1[H3C]ipsecpolicyRTA1isakmp[H3C-ipsec-policy-isakmp-RTA-1]remote-address2.
2.
2.
1[H3C-ipsec-policy-isakmp-RTA-1]securityacl3000[H3C-ipsec-policy-isakmp-RTA-1]transform-set1[H3C-ipsec-policy-isakmp-RTA-1]ike-profileRTA[H3C-ipsec-policy-isakmp-RTA-1]quit#设置外网口做NAT转换的时候关联ACL3001(如果之前已经在外网口配置了natoutbound,需要先undo掉),并将IPSec安全策略RTA应用在外网接口[H3C]interfaceGigabitEthernet0/0[H3C-GigabitEthernet0/0]undonatoutbound[H3C-GigabitEthernet0/0]natoutbound3001[H3C-GigabitEthernet0/0]ipsecapplypolicyRTA[H3C-GigabitEthernet0/0]quit#配置到对端内网的路由[H3C]iproute-static172.
16.
1.
024Tunnel0#保存配置[H3C]saveforce3.
3设置B路由器#配置GRE隧道,system-viewSystemView:returntoUserViewwithCtrl+Z.
[H3C]interfaceTunnel0modegre[H3C-Tunnel0]ipaddress10.
1.
2.
224[H3C-Tunnel0]source2.
2.
2.
1[H3C-Tunnel0]destination1.
1.
1.
1#配置一个访问控制列表3000,定义由子网1.
1.
1.
0/24去子网2.
2.
2.
0/24的数据流,封装GRE数据流.
[H3C]acladvanced3000[H3C-acl-ipv4-adv-3000]rulepermitipsource2.
2.
2.
00.
0.
0.
255destination1.
1.
1.
00.
0.
0.
255[H3C-acl-ipv4-adv-3000]quit#配置公网口NAT要关联的ACl3001,作用是把IPSec感兴趣流从NAT转换的数据流deny掉,防止IPSec数据流被NAT优先转换[H3C]aclnumber3001[H3C-acl-adv-3001]rule0denyipsource2.
2.
2.
00.
0.
0.
255destination1.
1.
1.
00.
0.
0.
255[H3C-acl-adv-3001]rule1permitip[H3C-acl-adv-3001]quit#创建一条IKE提议1,指定IKE提议使用的认证算法为MD5,加密算法为3des-cbc[H3C]ikeproposal1[H3C-ike-proposal-1]authentication-algorithmmd5[H3C-ike-proposal-1]encryption-algorithm3des-cbc[H3C-ike-proposal-1]quit#创建并配置IKEkeychain,名称为RTA.
[H3C]ikekeychainRTA#配置对端IP地址为1.
1.
1.
1,使用的预共享密钥为明文123456[H3C-ike-keychain-RTA]pre-shared-keyaddress1.
1.
1.
1255.
255.
255.
0keysimple123456[H3C-ike-keychain-RTA]quit#创建并配置IKEprofile,名称为RTA,引用上面配置的keychainRTA,配置本地地址为本端的公网接口地址2.
2.
2.
1,对端地址为对端公网接口地址1.
1.
1.
1,引用之前配置IKE提议1[H3C]ikeprofileRTA[H3C-ike-profile-RTA]keychainRTA[H3C-ike-profile-RTA]local-identityaddress2.
2.
2.
1[H3C-ike-profile-RTA]matchremoteidentityaddress1.
1.
1.
1255.
255.
255.
0[H3C-ike-profile-RTA]proposal1[H3C-ike-profile-RTA]quit#配置IPsec安全提议1,ESP协议采用的加密算法为3des-cbc,认证算法为md5[H3C]ipsectransform-set1[H3C-ipsec-transform-set-1]espencryption-algorithm3des-cbc[H3C-ipsec-transform-set-1]espauthentication-algorithmmd5[H3C-ipsec-transform-set-1]quit#创建IPsec安全策略,名称为RTA,序列号为1,设置对端地址为对端公网地址1.
1.
1.
1,引用之前创建的ACL3000,引用之前创建的IKEprofileRTA,引用之前的IPSec安全提议1[H3C]ipsecpolicyRTA1isakmp[H3C-ipsec-policy-isakmp-RTA-1]remote-address1.
1.
1.
1[H3C-ipsec-policy-isakmp-RTA-1]securityacl3000[H3C-ipsec-policy-isakmp-RTA-1]transform-set1[H3C-ipsec-policy-isakmp-RTA-1]ike-profileRTA[H3C-ipsec-policy-isakmp-RTA-1]quit#设置外网口做NAT转换的时候关联ACL3001(如果之前已经在外网口配置了natoutbound,需要先undo掉),并将IPSec安全策略RTA应用在外网接口[H3C]interfaceGigabitEthernet0/0[H3C-GigabitEthernet0/0]undonatoutbound[H3C-GigabitEthernet0/0]natoutbound3001[H3C-GigabitEthernet0/0]ipsecapplypolicyRTA[H3C-GigabitEthernet0/0]quit#配置到对端内网的路由[H3C]iproute-static192.
168.
1.
024Tunnel0#保存配置[H3C]saveforce3.
4验证配置结果#在RTA路由器上带源pingRTB路由器内网网关地址配置关键点
ParkinHost:俄罗斯离岸主机,抗投诉VPS,200Mbps带宽/莫斯科CN2线路/不限流量/无视DMCA/55折促销26.4欧元 /年起
外贸主机哪家好?抗投诉VPS哪家好?无视DMCA。ParkinHost今年还没有搞过促销,这次parkinhost俄罗斯机房上新服务器,母机采用2个E5-2680v3处理器、128G内存、RAID10硬盘、2Gbps上行线路。具体到VPS全部200Mbps带宽,除了最便宜的套餐限制流量之外,其他的全部是无限流量VPS。ParkinHost,成立于 2013 年,印度主机商,隶属于 DiggDigi...
星梦云:四川100G高防4H4G10M月付仅60元
星梦云怎么样?星梦云资质齐全,IDC/ISP均有,从星梦云这边租的服务器均可以备案,属于一手资源,高防机柜、大带宽、高防IP业务,一手整C IP段,四川电信,星梦云专注四川高防服务器,成都服务器,雅安服务器。星梦云目前夏日云服务器促销,四川100G高防4H4G10M月付仅60元;西南高防月付特价活动,续费同价,买到就是赚到!点击进入:星梦云官方网站地址1、成都电信年中活动机(成都电信优化线路,封锁...
Hostiger发布哥伦布日提供VPS主机首月七折优惠 月费2.79美元
Hostiger商家我们可能以前也是有见过的,以前他们的域名是Hostigger,后来进行微调后包装成现在的。而且推出Columbus Day哥伦布日优惠活动,提供全场的VPS主机首月7折月付2.79美元起的优惠。这里我们普及一下基础知识,Columbus Day ,即为每年10月12日,是一些美洲国家的节日,纪念克里斯托弗·哥伦布在北美登陆,为美国的联邦假日。Hostiger 商家是一个成立于2...
路由器配置为你推荐
-
12306崩溃为什么12306进不去mathplayer如何学好理科丑福晋爱新觉罗.允禄真正的福晋是谁?他真的是一个残酷,噬血但很专情的一个人吗?www.119mm.comwww.kb119.com 这个网站你们能打开不?www.vtigu.com如图,已知四边形ABCD是平行四边形,下列条件:①AC=BD,②AB=AD,③∠1=∠2④AB⊥BC中,能说明平行四边形avtt4.comwww.5c5c.com怎么进入www.5any.comwww.qbo5.com 这个网站要安装播放器百度关键字在百度 输入任何关键词,可以搜出想要的内容,但是 搜索工具栏里面的字,却始终是同一个关键词, 如图ww.43994399在线单机小游戏惠丰吧毕节医药高等专科可以专升本吗