配置路由器配置
路由器配置 时间:2021-04-03 阅读:()
知GREVPNIPSecVPN史晓虎2019-08-21发表MSR2600-XX-X1/3610-X1系列路由器配置GREOVERIPSEC配置方法组网及说明1配置需求或说明1.
1适用产品系列本案例适用于如2600-6-X1、MSR2600-10-X1、MSR3600-28-X1、MSR3600-28-X1-DP等MSR2600-XX-X1、3610-X1系列的路由器.
1.
2配置需求及实现的效果RTA路由器外网口G0/0的地址为1.
1.
1.
1(模拟运营商公网固定地址环境),RTB路由器外网口G0/0的地址为2.
2.
2.
1(模拟运营商公网固定地址环境),两个路由器外网口地址之间路由可达可以互相ping通.
要对RTA路由器所在的内网(192.
168.
1.
0/24)与RTB路由器所在的内网(172.
16.
1.
0/24),实现两端内网终端通过GREoverIPsecVPN隧道进行互访.
2组网图配置步骤3配置步骤3.
1配置路由器基本上网#路由器基本上网配置省略,MSRV7路由器的上网具体设置步骤请参考"2.
1.
2路由器外网使用固定IP地址上网配置方法"章节中"MSR830-WiNet系列路由器基本上网(静态IP)命令行配置(V7)"案例3.
2设置A路由器#配置GRE隧道,system-viewSystemView:returntoUserViewwithCtrl+Z.
[H3C]interfaceTunnel0modegre[H3C-Tunnel0]ipaddress10.
1.
2.
124[H3C-Tunnel0]source1.
1.
1.
1[H3C-Tunnel0]destination2.
2.
2.
1#配置一个访问控制列表3000,定义由子网1.
1.
1.
0/24去子网2.
2.
2.
0/24的数据流,封装GRE数据流.
[H3C]acladvanced3000[H3C-acl-ipv4-adv-3000]rulepermitipsource1.
1.
1.
00.
0.
0.
255destination2.
2.
2.
00.
0.
0.
255[H3C-acl-ipv4-adv-3000]quit#配置公网口NAT要关联的ACl3001,作用是把IPSec感兴趣流从NAT转换的数据流deny掉,防止IPSec数据流被NAT优先转换[H3C]aclnumber3001[H3C-acl-adv-3001]rule0denyipsource1.
1.
1.
00.
0.
0.
255destination2.
2.
2.
00.
0.
0.
255[H3C-acl-adv-3001]rule1permitip[H3C-acl-adv-3001]quit#创建一条IKE提议1,指定IKE提议使用的认证算法为MD5,加密算法为3des-cbc[H3C]ikeproposal1[H3C-ike-proposal-1]authentication-algorithmmd5[H3C-ike-proposal-1]encryption-algorithm3des-cbc[H3C-ike-proposal-1]quit#创建并配置IKEkeychain,名称为RTA.
[H3C]ikekeychainRTA#配置对端IP地址为2.
2.
2.
1,使用的预共享密钥为明文123456[H3C-ike-keychain-RTA]pre-shared-keyaddress2.
2.
2.
1255.
255.
255.
0keysimple123456[H3C-ike-keychain-RTA]quit#创建并配置IKEprofile,名称为RTA,引用上面配置的keychainRTA,配置本地地址为本端的公网接口地址1.
1.
1.
1,对端地址为对端公网接口地址2.
2.
2.
1,引用之前配置IKE提议1[H3C]ikeprofileRTA[H3C-ike-profile-RTA]keychainRTA[H3C-ike-profile-RTA]local-identityaddress1.
1.
1.
1[H3C-ike-profile-RTA]matchremoteidentityaddress2.
2.
2.
1255.
255.
255.
0[H3C-ike-profile-RTA]proposal1[H3C-ike-profile-RTA]quit#配置IPsec安全提议1,ESP协议采用的加密算法为3des-cbc,认证算法为md5[H3C]ipsectransform-set1[H3C-ipsec-transform-set-1]espencryption-algorithm3des-cbc[H3C-ipsec-transform-set-1]espauthentication-algorithmmd5[H3C-ipsec-transform-set-1]quit#创建IPsec安全策略,名称为RTA,序列号为1,设置对端地址为对端公网地址2.
2.
2.
1,引用之前创建的ACL3000,引用之前创建的IKEprofileRTA,引用之前的IPSec安全提议1[H3C]ipsecpolicyRTA1isakmp[H3C-ipsec-policy-isakmp-RTA-1]remote-address2.
2.
2.
1[H3C-ipsec-policy-isakmp-RTA-1]securityacl3000[H3C-ipsec-policy-isakmp-RTA-1]transform-set1[H3C-ipsec-policy-isakmp-RTA-1]ike-profileRTA[H3C-ipsec-policy-isakmp-RTA-1]quit#设置外网口做NAT转换的时候关联ACL3001(如果之前已经在外网口配置了natoutbound,需要先undo掉),并将IPSec安全策略RTA应用在外网接口[H3C]interfaceGigabitEthernet0/0[H3C-GigabitEthernet0/0]undonatoutbound[H3C-GigabitEthernet0/0]natoutbound3001[H3C-GigabitEthernet0/0]ipsecapplypolicyRTA[H3C-GigabitEthernet0/0]quit#配置到对端内网的路由[H3C]iproute-static172.
16.
1.
024Tunnel0#保存配置[H3C]saveforce3.
3设置B路由器#配置GRE隧道,system-viewSystemView:returntoUserViewwithCtrl+Z.
[H3C]interfaceTunnel0modegre[H3C-Tunnel0]ipaddress10.
1.
2.
224[H3C-Tunnel0]source2.
2.
2.
1[H3C-Tunnel0]destination1.
1.
1.
1#配置一个访问控制列表3000,定义由子网1.
1.
1.
0/24去子网2.
2.
2.
0/24的数据流,封装GRE数据流.
[H3C]acladvanced3000[H3C-acl-ipv4-adv-3000]rulepermitipsource2.
2.
2.
00.
0.
0.
255destination1.
1.
1.
00.
0.
0.
255[H3C-acl-ipv4-adv-3000]quit#配置公网口NAT要关联的ACl3001,作用是把IPSec感兴趣流从NAT转换的数据流deny掉,防止IPSec数据流被NAT优先转换[H3C]aclnumber3001[H3C-acl-adv-3001]rule0denyipsource2.
2.
2.
00.
0.
0.
255destination1.
1.
1.
00.
0.
0.
255[H3C-acl-adv-3001]rule1permitip[H3C-acl-adv-3001]quit#创建一条IKE提议1,指定IKE提议使用的认证算法为MD5,加密算法为3des-cbc[H3C]ikeproposal1[H3C-ike-proposal-1]authentication-algorithmmd5[H3C-ike-proposal-1]encryption-algorithm3des-cbc[H3C-ike-proposal-1]quit#创建并配置IKEkeychain,名称为RTA.
[H3C]ikekeychainRTA#配置对端IP地址为1.
1.
1.
1,使用的预共享密钥为明文123456[H3C-ike-keychain-RTA]pre-shared-keyaddress1.
1.
1.
1255.
255.
255.
0keysimple123456[H3C-ike-keychain-RTA]quit#创建并配置IKEprofile,名称为RTA,引用上面配置的keychainRTA,配置本地地址为本端的公网接口地址2.
2.
2.
1,对端地址为对端公网接口地址1.
1.
1.
1,引用之前配置IKE提议1[H3C]ikeprofileRTA[H3C-ike-profile-RTA]keychainRTA[H3C-ike-profile-RTA]local-identityaddress2.
2.
2.
1[H3C-ike-profile-RTA]matchremoteidentityaddress1.
1.
1.
1255.
255.
255.
0[H3C-ike-profile-RTA]proposal1[H3C-ike-profile-RTA]quit#配置IPsec安全提议1,ESP协议采用的加密算法为3des-cbc,认证算法为md5[H3C]ipsectransform-set1[H3C-ipsec-transform-set-1]espencryption-algorithm3des-cbc[H3C-ipsec-transform-set-1]espauthentication-algorithmmd5[H3C-ipsec-transform-set-1]quit#创建IPsec安全策略,名称为RTA,序列号为1,设置对端地址为对端公网地址1.
1.
1.
1,引用之前创建的ACL3000,引用之前创建的IKEprofileRTA,引用之前的IPSec安全提议1[H3C]ipsecpolicyRTA1isakmp[H3C-ipsec-policy-isakmp-RTA-1]remote-address1.
1.
1.
1[H3C-ipsec-policy-isakmp-RTA-1]securityacl3000[H3C-ipsec-policy-isakmp-RTA-1]transform-set1[H3C-ipsec-policy-isakmp-RTA-1]ike-profileRTA[H3C-ipsec-policy-isakmp-RTA-1]quit#设置外网口做NAT转换的时候关联ACL3001(如果之前已经在外网口配置了natoutbound,需要先undo掉),并将IPSec安全策略RTA应用在外网接口[H3C]interfaceGigabitEthernet0/0[H3C-GigabitEthernet0/0]undonatoutbound[H3C-GigabitEthernet0/0]natoutbound3001[H3C-GigabitEthernet0/0]ipsecapplypolicyRTA[H3C-GigabitEthernet0/0]quit#配置到对端内网的路由[H3C]iproute-static192.
168.
1.
024Tunnel0#保存配置[H3C]saveforce3.
4验证配置结果#在RTA路由器上带源pingRTB路由器内网网关地址配置关键点
1适用产品系列本案例适用于如2600-6-X1、MSR2600-10-X1、MSR3600-28-X1、MSR3600-28-X1-DP等MSR2600-XX-X1、3610-X1系列的路由器.
1.
2配置需求及实现的效果RTA路由器外网口G0/0的地址为1.
1.
1.
1(模拟运营商公网固定地址环境),RTB路由器外网口G0/0的地址为2.
2.
2.
1(模拟运营商公网固定地址环境),两个路由器外网口地址之间路由可达可以互相ping通.
要对RTA路由器所在的内网(192.
168.
1.
0/24)与RTB路由器所在的内网(172.
16.
1.
0/24),实现两端内网终端通过GREoverIPsecVPN隧道进行互访.
2组网图配置步骤3配置步骤3.
1配置路由器基本上网#路由器基本上网配置省略,MSRV7路由器的上网具体设置步骤请参考"2.
1.
2路由器外网使用固定IP地址上网配置方法"章节中"MSR830-WiNet系列路由器基本上网(静态IP)命令行配置(V7)"案例3.
2设置A路由器#配置GRE隧道,system-viewSystemView:returntoUserViewwithCtrl+Z.
[H3C]interfaceTunnel0modegre[H3C-Tunnel0]ipaddress10.
1.
2.
124[H3C-Tunnel0]source1.
1.
1.
1[H3C-Tunnel0]destination2.
2.
2.
1#配置一个访问控制列表3000,定义由子网1.
1.
1.
0/24去子网2.
2.
2.
0/24的数据流,封装GRE数据流.
[H3C]acladvanced3000[H3C-acl-ipv4-adv-3000]rulepermitipsource1.
1.
1.
00.
0.
0.
255destination2.
2.
2.
00.
0.
0.
255[H3C-acl-ipv4-adv-3000]quit#配置公网口NAT要关联的ACl3001,作用是把IPSec感兴趣流从NAT转换的数据流deny掉,防止IPSec数据流被NAT优先转换[H3C]aclnumber3001[H3C-acl-adv-3001]rule0denyipsource1.
1.
1.
00.
0.
0.
255destination2.
2.
2.
00.
0.
0.
255[H3C-acl-adv-3001]rule1permitip[H3C-acl-adv-3001]quit#创建一条IKE提议1,指定IKE提议使用的认证算法为MD5,加密算法为3des-cbc[H3C]ikeproposal1[H3C-ike-proposal-1]authentication-algorithmmd5[H3C-ike-proposal-1]encryption-algorithm3des-cbc[H3C-ike-proposal-1]quit#创建并配置IKEkeychain,名称为RTA.
[H3C]ikekeychainRTA#配置对端IP地址为2.
2.
2.
1,使用的预共享密钥为明文123456[H3C-ike-keychain-RTA]pre-shared-keyaddress2.
2.
2.
1255.
255.
255.
0keysimple123456[H3C-ike-keychain-RTA]quit#创建并配置IKEprofile,名称为RTA,引用上面配置的keychainRTA,配置本地地址为本端的公网接口地址1.
1.
1.
1,对端地址为对端公网接口地址2.
2.
2.
1,引用之前配置IKE提议1[H3C]ikeprofileRTA[H3C-ike-profile-RTA]keychainRTA[H3C-ike-profile-RTA]local-identityaddress1.
1.
1.
1[H3C-ike-profile-RTA]matchremoteidentityaddress2.
2.
2.
1255.
255.
255.
0[H3C-ike-profile-RTA]proposal1[H3C-ike-profile-RTA]quit#配置IPsec安全提议1,ESP协议采用的加密算法为3des-cbc,认证算法为md5[H3C]ipsectransform-set1[H3C-ipsec-transform-set-1]espencryption-algorithm3des-cbc[H3C-ipsec-transform-set-1]espauthentication-algorithmmd5[H3C-ipsec-transform-set-1]quit#创建IPsec安全策略,名称为RTA,序列号为1,设置对端地址为对端公网地址2.
2.
2.
1,引用之前创建的ACL3000,引用之前创建的IKEprofileRTA,引用之前的IPSec安全提议1[H3C]ipsecpolicyRTA1isakmp[H3C-ipsec-policy-isakmp-RTA-1]remote-address2.
2.
2.
1[H3C-ipsec-policy-isakmp-RTA-1]securityacl3000[H3C-ipsec-policy-isakmp-RTA-1]transform-set1[H3C-ipsec-policy-isakmp-RTA-1]ike-profileRTA[H3C-ipsec-policy-isakmp-RTA-1]quit#设置外网口做NAT转换的时候关联ACL3001(如果之前已经在外网口配置了natoutbound,需要先undo掉),并将IPSec安全策略RTA应用在外网接口[H3C]interfaceGigabitEthernet0/0[H3C-GigabitEthernet0/0]undonatoutbound[H3C-GigabitEthernet0/0]natoutbound3001[H3C-GigabitEthernet0/0]ipsecapplypolicyRTA[H3C-GigabitEthernet0/0]quit#配置到对端内网的路由[H3C]iproute-static172.
16.
1.
024Tunnel0#保存配置[H3C]saveforce3.
3设置B路由器#配置GRE隧道,system-viewSystemView:returntoUserViewwithCtrl+Z.
[H3C]interfaceTunnel0modegre[H3C-Tunnel0]ipaddress10.
1.
2.
224[H3C-Tunnel0]source2.
2.
2.
1[H3C-Tunnel0]destination1.
1.
1.
1#配置一个访问控制列表3000,定义由子网1.
1.
1.
0/24去子网2.
2.
2.
0/24的数据流,封装GRE数据流.
[H3C]acladvanced3000[H3C-acl-ipv4-adv-3000]rulepermitipsource2.
2.
2.
00.
0.
0.
255destination1.
1.
1.
00.
0.
0.
255[H3C-acl-ipv4-adv-3000]quit#配置公网口NAT要关联的ACl3001,作用是把IPSec感兴趣流从NAT转换的数据流deny掉,防止IPSec数据流被NAT优先转换[H3C]aclnumber3001[H3C-acl-adv-3001]rule0denyipsource2.
2.
2.
00.
0.
0.
255destination1.
1.
1.
00.
0.
0.
255[H3C-acl-adv-3001]rule1permitip[H3C-acl-adv-3001]quit#创建一条IKE提议1,指定IKE提议使用的认证算法为MD5,加密算法为3des-cbc[H3C]ikeproposal1[H3C-ike-proposal-1]authentication-algorithmmd5[H3C-ike-proposal-1]encryption-algorithm3des-cbc[H3C-ike-proposal-1]quit#创建并配置IKEkeychain,名称为RTA.
[H3C]ikekeychainRTA#配置对端IP地址为1.
1.
1.
1,使用的预共享密钥为明文123456[H3C-ike-keychain-RTA]pre-shared-keyaddress1.
1.
1.
1255.
255.
255.
0keysimple123456[H3C-ike-keychain-RTA]quit#创建并配置IKEprofile,名称为RTA,引用上面配置的keychainRTA,配置本地地址为本端的公网接口地址2.
2.
2.
1,对端地址为对端公网接口地址1.
1.
1.
1,引用之前配置IKE提议1[H3C]ikeprofileRTA[H3C-ike-profile-RTA]keychainRTA[H3C-ike-profile-RTA]local-identityaddress2.
2.
2.
1[H3C-ike-profile-RTA]matchremoteidentityaddress1.
1.
1.
1255.
255.
255.
0[H3C-ike-profile-RTA]proposal1[H3C-ike-profile-RTA]quit#配置IPsec安全提议1,ESP协议采用的加密算法为3des-cbc,认证算法为md5[H3C]ipsectransform-set1[H3C-ipsec-transform-set-1]espencryption-algorithm3des-cbc[H3C-ipsec-transform-set-1]espauthentication-algorithmmd5[H3C-ipsec-transform-set-1]quit#创建IPsec安全策略,名称为RTA,序列号为1,设置对端地址为对端公网地址1.
1.
1.
1,引用之前创建的ACL3000,引用之前创建的IKEprofileRTA,引用之前的IPSec安全提议1[H3C]ipsecpolicyRTA1isakmp[H3C-ipsec-policy-isakmp-RTA-1]remote-address1.
1.
1.
1[H3C-ipsec-policy-isakmp-RTA-1]securityacl3000[H3C-ipsec-policy-isakmp-RTA-1]transform-set1[H3C-ipsec-policy-isakmp-RTA-1]ike-profileRTA[H3C-ipsec-policy-isakmp-RTA-1]quit#设置外网口做NAT转换的时候关联ACL3001(如果之前已经在外网口配置了natoutbound,需要先undo掉),并将IPSec安全策略RTA应用在外网接口[H3C]interfaceGigabitEthernet0/0[H3C-GigabitEthernet0/0]undonatoutbound[H3C-GigabitEthernet0/0]natoutbound3001[H3C-GigabitEthernet0/0]ipsecapplypolicyRTA[H3C-GigabitEthernet0/0]quit#配置到对端内网的路由[H3C]iproute-static192.
168.
1.
024Tunnel0#保存配置[H3C]saveforce3.
4验证配置结果#在RTA路由器上带源pingRTB路由器内网网关地址配置关键点
cera:秋季美国便宜VPS促销,低至24/月起,多款VPS配置,自带免费Windows
介绍:819云怎么样?819云创办于2019,由一家从2017年开始从业的idc行业商家创办,主要从事云服务器,和物理机器819云—-带来了9月最新的秋季便宜vps促销活动,一共4款便宜vps,从2~32G内存,支持Windows系统,…高速建站的美国vps位于洛杉矶cera机房,服务器接入1Gbps带宽,采用魔方管理系统,适合新手玩耍!官方网站:https://www.8...
恒创科技SonderCloud,美国VPS综合性能测评报告,美国洛杉矶机房,CN2+BGP优质线路,2核4G内存10Mbps带宽,适用于稳定建站业务需求
最近主机参考拿到了一台恒创科技的美国VPS云服务器测试机器,那具体恒创科技美国云服务器性能到底怎么样呢?主机参考进行了一番VPS测评,大家可以参考一下,总体来说还是非常不错的,是值得购买的。非常适用于稳定建站业务需求。恒创科技服务器怎么样?恒创科技服务器好不好?henghost怎么样?henghost值不值得购买?SonderCloud服务器好不好?恒创科技henghost值不值得购买?恒创科技是...
racknerd新上架“洛杉矶”VPS$29/年,3.8G内存/3核/58gSSD/5T流量
racknerd发表了2021年美国独立日的促销费用便宜的vps,两种便宜的美国vps位于洛杉矶multacom室,访问了1Gbps的带宽,采用了solusvm管理,硬盘是SSDraid10...近两年来,racknerd的声誉不断积累,服务器的稳定性和售后服务。官方网站:https://www.racknerd.com多种加密数字货币、信用卡、PayPal、支付宝、银联、webmoney,可以付...
路由器配置为你推荐
-
8080端口8080是什么端口?广东GDP破10万亿广东省2019年各市gdp是多少?bbs.99nets.com怎么打造完美SFlunwenjiancewritecheck论文检测准吗?冯媛甑谁知道怎么找到冯媛甄的具体资料?同ip站点同ip站点很多有没有影响?同一服务器网站同一服务器上可以存放多个网站吗?51sese.com谁有免费电影网站125xx.comwww.free.com 是官方网站吗?www.niuav.com在那能找到免费高清电影网站呢 ?