知Bims刘思2013-04-25发表iMCBIMS配合IVM组件建立IPsecVPN的配置方法iMCBIMS配合IVM组件建立IPsecVPN的配置方法一、组网需求:某客户处组网为HUB-SPOKE方式,分部IP地址为运营商自动分配且出口做了NAT地址转换.
为了实现对所有在网设备进行集中配置管理和数据的安全传输需求,可通过iMC平台、BIMS、IVM组件来进行设备管理以及相关VPN配置的下发.
二、组网图:三、配置步骤:基础组网部分相关配置:第一步:配置设备IP地址,并确保路由的可达.
CPE的IP地址配置如下:GE0/1192.
168.
10.
1Loop010.
1.
0.
1其中GE0/1的地址为自动获取,Loop0用来模拟分支机构的上网设备.
运营商的IP地址配置如下:GE0/0192.
168.
10.
2GE0/1192.
168.
9.
2HUB的IP地址配置如下:GE0/0172.
16.
0.
201GE0/1192.
168.
9.
3Loop010.
2.
0.
1Loop0用来模拟总部机构的上网设备,GE0/0用来与iMC(172.
16.
100.
122)实现IP三层互连.
第二步:CPEGE0/1上启用NAT,模拟现实组网环境.
#aclnumber3001rule0denyipsource10.
1.
0.
10destination10.
2.
0.
10rule5permitipsource10.
1.
0.
10interfaceGigabitEthernet0/1portlink-moderoutenatoutbound3001ipaddressdhcp-alloc#BIMS部分相关配置:第一步:iMC上BIMS相关参数的配置.
1、依次点击【业务】--【分支网点管理】--【系统配置】--【系统参数】.
其中打开"Web网管配置"为iMC打开CPEWeb网管的方式和对应的端口.
支持HTTP方式和HTTPS方式.
"默认轮询时间"表示网管系统轮询设备状态和配置的默认时间间隔.
"周期通知间隔"表示每隔该时间间隔,设备通过Inform方法周期向ACS发送CPE设备信息,该值也可在设备上通过命令行来配置.
"CPE访问参数"表示网管系统访问设备时携带的用户名以及密码信息.
通过"CPE增加策略"可配置网管系统是否可自动增加CPE设备.
2、依次点击【业务】--【分支网点管理】--【系统配置】--【CPE认证用户】.
该处可创建、修改以及删除CPE认证用户,需要注意的是只有管理员才能增加、修改CPE用户信息,查看员和维护员只能修改用户密码且CPE用户一旦注册就不可修改用户名.
第二步:CPE侧CWMP(TR-069)协议的配置,主要支持命令行配置、DHCPOption43属性下发以及短信配置下发等方式.
本文以命令行配置以及DHCPOption43属性为例说明.
1、命令行配置方式,如下配置为实验室配置,具体参数请根据现场环境而定.
[CPE]cwmp[CPE-cwmp]cwmpenable[CPE-cwmp]cwmpcpeusernamecpe[CPE-cwmp]cwmpcpepasswordcpe[CPE-cwmp]cwmpacsusernameacs[CPE-cwmp]cwmpacspasswordacs[CPE-cwmp]cwmpacsurlhttp://172.
16.
100.
122:9090[CPE-cwmp]cwmpcpeinforminterval20[CPE-cwmp]cwmpcpeconnectinterfaceGigabitEthernet0/1[CPE-cwmp]cwmpcpeconnectretry10[CPE-cwmp]cwmpcpewaittimeout602、通过DHCPOption43方式.
DHCPOption43可携带厂商私有扩展属性,当设备IP地址为自动获取时,利用该属性可将BIMS(ACS)URL以及用户名密码信息.
iMCBIMS组件自带Option工具,可将URL转换为Option43.
依次点击【业务】--【分支网点管理】--【系统配置】--【Option工具】,得如下截图.
将转换后的Option43结果导入到DHCP服务器配置中后,CPE在自动获取IP地址时可自动获取ACS的URL、用户和密码信息.
DHCP服务器的位置请结合用户实际组网情况而定.
#dhcpserverip-pool1network192.
168.
10.
0mask255.
255.
255.
0gateway-list192.
168.
10.
2option43hex0122687474703A2F2F3137322E31362E3130302E3132323A393039302061637320616373#第三步:iMCBIMS资源管理中查看CPE设备.
依次点击【业务】--【分支网点管理】--【资源管理】--【所有CPE】,即可查看CPE设备已自动添加成功.
IVM部分相关配置:第一步:创建IPsec和IKE的安全模板.
1、依次点击【业务】--【IPsecVPN管理】--【模板管理】--【IPsec安全提议】,该处可增加和修改相关IPsec安全提议,本文中将对模板test进行调用.
2、依次点击【业务】--【IPsecVPN管理】--【模板管理】--【IKE安全提议】,该处可增加和修改相关IKE安全提议,本文中将对模板test进行调用.
第二步:增加IPsec设备.
1、依次点击【业务】--【IPsecVPN管理】--【IVM参数配置】,该处可填写访问BIMS服务的参数,BIMS服务器地址须与之前BIMS设置中"打开web网管配置"先匹配.
2、增加HUB设备,依次点击【业务】--【IPsecVPN管理】--【IPsec资源管理】--【设备管理】--【导入设备】,选择设备可导入HUB,选择BIMS设备可导入CPE.
需要注意的是在点击【选择设备】时相关设备须配置telnet或者ssh参数.
第三步:创建网络管理域.
依次点击【业务】--【IPsecVPN管理】--【IPsec资源管理】--【设备管理】--【网络域管理】--【增加】.
"使用策略模板"选是,则HUB侧通过策略模板来建立VPN,选否则通过ACL方式来建立VPN.
点击下一步,该处可配置IPsec和IKE的安全提议,二者皆调用之前配置的test模板.
IKE安全提议必须为数字.
第四步:创建IPsecVPN并对其进行配置.
1、依次点击网络域【bims】--【增加】--【选择HUB设备】,系统会自动将符合条件的HUB设备筛选.
之后点击【选择BIMSSpoke设备】,可将Spoke设备添加.
2、更改HUB设备和Spoke设备启用IPsecPolicy的接口.
3、对IPsec隧道进行配置,点击上图中的功能按钮,进去基本信息配置页面.
该处可配置HUB设SPOKE设备IKE网管名称,其他部分保持不变.
4、点击上图中【配置设备参数】,该处可增加感兴趣的流,用于确定ACL中的相关源和目的网段.
增加完成之后点击返回.
5、点击【SPOKE设备附加配置】,不做任何配置,点击确定之后点击返回.
6、此时即可对IPsecVPN隧道进行部署,但配置下发到对应设备之后安全提议等名称为iMC自定义,继续点击配置功能按钮进行配置.
点击"HUB设备高级配置",可做截图中所示配置.
点击"Spoke设备高级配置",可做截图中所示配置.
配置完成之后点击返回,即可返回隧道列表页面.
第五步:进行隧道的配置下发以及验证.
1、在隧道列表页面,选定隧道并点击【部署】按钮,即可对隧道进行部署.
2、由于做了NAT穿越,由SPOKE侧发起ping来建立VPN隧道.
resetipsecsaresetikesaping-c2-a10.
1.
0.
110.
2.
0.
1PING10.
2.
0.
1:56databytes,pressCTRL_CtobreakRequesttimeout//该ping包用以触发VPN隧道的建立.
Replyfrom10.
2.
0.
1:bytes=56Sequence=2ttl=255time=2ms---10.
2.
0.
1pingstatistics---2packet(s)transmitted1packet(s)received50.
00%packetlossround-tripmin/avg/max=2/2/2ms3、VPN隧道的拆除,在VPN隧道列表中选择隧道,点击拆除即可拆除VPN隧道.
disipsesadisikesatotalphase-1SAs:0connection-idpeerflagphasedoi四、配置关键点:1、请正确配置ACS访问参数,相关参数数值请根据现场环境而定.
2、在IVM视图中配置基本信息和配置设备参数时请仔细了解没个选项的定义,如是否生成策略模板以及静态路由的注入,以免在配置下发之后造成网络的中断.
3、下发配置前,请先从BIMS同步设备配置,然后再次从IVM同步设备配置.
搬瓦工怎么样?2021年7月最新vps套餐推荐及搬瓦工优惠码整理,搬瓦工优惠码可以在购买的时候获取一些优惠,一般来说力度都在 6% 左右。本文整理一下 2021 年 7 月最新的搬瓦工优惠码,目前折扣力度最大是 6.58%,并且是循环折扣,续费有效,可以一直享受优惠价格续费的。搬瓦工优惠码基本上可能每年才会更新一次,大家可以收藏本文,会保持搬瓦工最新优惠码更新的。点击进入:搬瓦工最新官方网站搬瓦工...
halocloud怎么样?halocloud是一个于2019下半年建立的商家,主要提供日本软银VPS,广州移动VDS,株洲联通VDS,广州移动独立服务器,Halo邮局服务,Azure香港1000M带宽月抛机器等。日本软银vps,100M/200M/500M带宽,可看奈飞,香港azure1000M带宽,可以解锁奈飞等流媒体,有需要看奈飞的朋友可以入手!点击进入:halocloud官方网站地址日本vp...
OneTechCloud发布了本月促销信息,全场VPS主机月付9折,季付8折,优惠后香港VPS月付25.2元起,美国CN2 GIA线路高防VPS月付31.5元起。这是一家2019年成立的国人主机商,提供VPS主机和独立服务器租用,产品数据中心包括美国洛杉矶和中国香港,Cera的机器,VPS基于KVM架构,采用SSD硬盘,其中美国洛杉矶回程CN2 GIA,可选高防。下面列出部分套餐配置信息。美国CN...
dhcp服务器配置为你推荐
站酷zcool有那位知道从哪个网站能下到广告素材美国互联网瘫痪美国掐断中国互联网怎么办,我们如何解决?是否有后招?云爆发云玩家啥意思?是不是骂人的2020双十一成绩单如何查找2020年小考六年级的成绩?老虎数码86年属虎的吉祥数字和求财方向罗伦佐娜手上鸡皮肤怎么办,维洛娜毛周角化修复液www.yahoo.com.hk香港的常用网站125xx.com高手指教下,www.fshxbxg.com这个域名值多少钱?杨丽晓博客杨丽晓是如何进入娱乐圈的?99nets.com制作网络虚拟证件的网站 那里有呀?
域名抢注 免费申请域名和空间 bluehost 便宜建站 12306抢票助手 hnyd 个人空间申请 骨干网络 免费个人空间申请 韩国名字大全 双11秒杀 网络空间租赁 美国堪萨斯 卡巴斯基免费试用 免费网页申请 如何注册阿里云邮箱 网站在线扫描 申请免费空间和域名 英国伦敦 数据库空间 更多