配置路由器配置
路由器配置 时间:2021-04-03 阅读:()
知GREVPNIPSecVPN史晓虎2019-08-21发表MSR2600-XX-X1/3610-X1系列路由器配置GREOVERIPSEC配置方法组网及说明1配置需求或说明1.
1适用产品系列本案例适用于如2600-6-X1、MSR2600-10-X1、MSR3600-28-X1、MSR3600-28-X1-DP等MSR2600-XX-X1、3610-X1系列的路由器.
1.
2配置需求及实现的效果RTA路由器外网口G0/0的地址为1.
1.
1.
1(模拟运营商公网固定地址环境),RTB路由器外网口G0/0的地址为2.
2.
2.
1(模拟运营商公网固定地址环境),两个路由器外网口地址之间路由可达可以互相ping通.
要对RTA路由器所在的内网(192.
168.
1.
0/24)与RTB路由器所在的内网(172.
16.
1.
0/24),实现两端内网终端通过GREoverIPsecVPN隧道进行互访.
2组网图配置步骤3配置步骤3.
1配置路由器基本上网#路由器基本上网配置省略,MSRV7路由器的上网具体设置步骤请参考"2.
1.
2路由器外网使用固定IP地址上网配置方法"章节中"MSR830-WiNet系列路由器基本上网(静态IP)命令行配置(V7)"案例3.
2设置A路由器#配置GRE隧道,system-viewSystemView:returntoUserViewwithCtrl+Z.
[H3C]interfaceTunnel0modegre[H3C-Tunnel0]ipaddress10.
1.
2.
124[H3C-Tunnel0]source1.
1.
1.
1[H3C-Tunnel0]destination2.
2.
2.
1#配置一个访问控制列表3000,定义由子网1.
1.
1.
0/24去子网2.
2.
2.
0/24的数据流,封装GRE数据流.
[H3C]acladvanced3000[H3C-acl-ipv4-adv-3000]rulepermitipsource1.
1.
1.
00.
0.
0.
255destination2.
2.
2.
00.
0.
0.
255[H3C-acl-ipv4-adv-3000]quit#配置公网口NAT要关联的ACl3001,作用是把IPSec感兴趣流从NAT转换的数据流deny掉,防止IPSec数据流被NAT优先转换[H3C]aclnumber3001[H3C-acl-adv-3001]rule0denyipsource1.
1.
1.
00.
0.
0.
255destination2.
2.
2.
00.
0.
0.
255[H3C-acl-adv-3001]rule1permitip[H3C-acl-adv-3001]quit#创建一条IKE提议1,指定IKE提议使用的认证算法为MD5,加密算法为3des-cbc[H3C]ikeproposal1[H3C-ike-proposal-1]authentication-algorithmmd5[H3C-ike-proposal-1]encryption-algorithm3des-cbc[H3C-ike-proposal-1]quit#创建并配置IKEkeychain,名称为RTA.
[H3C]ikekeychainRTA#配置对端IP地址为2.
2.
2.
1,使用的预共享密钥为明文123456[H3C-ike-keychain-RTA]pre-shared-keyaddress2.
2.
2.
1255.
255.
255.
0keysimple123456[H3C-ike-keychain-RTA]quit#创建并配置IKEprofile,名称为RTA,引用上面配置的keychainRTA,配置本地地址为本端的公网接口地址1.
1.
1.
1,对端地址为对端公网接口地址2.
2.
2.
1,引用之前配置IKE提议1[H3C]ikeprofileRTA[H3C-ike-profile-RTA]keychainRTA[H3C-ike-profile-RTA]local-identityaddress1.
1.
1.
1[H3C-ike-profile-RTA]matchremoteidentityaddress2.
2.
2.
1255.
255.
255.
0[H3C-ike-profile-RTA]proposal1[H3C-ike-profile-RTA]quit#配置IPsec安全提议1,ESP协议采用的加密算法为3des-cbc,认证算法为md5[H3C]ipsectransform-set1[H3C-ipsec-transform-set-1]espencryption-algorithm3des-cbc[H3C-ipsec-transform-set-1]espauthentication-algorithmmd5[H3C-ipsec-transform-set-1]quit#创建IPsec安全策略,名称为RTA,序列号为1,设置对端地址为对端公网地址2.
2.
2.
1,引用之前创建的ACL3000,引用之前创建的IKEprofileRTA,引用之前的IPSec安全提议1[H3C]ipsecpolicyRTA1isakmp[H3C-ipsec-policy-isakmp-RTA-1]remote-address2.
2.
2.
1[H3C-ipsec-policy-isakmp-RTA-1]securityacl3000[H3C-ipsec-policy-isakmp-RTA-1]transform-set1[H3C-ipsec-policy-isakmp-RTA-1]ike-profileRTA[H3C-ipsec-policy-isakmp-RTA-1]quit#设置外网口做NAT转换的时候关联ACL3001(如果之前已经在外网口配置了natoutbound,需要先undo掉),并将IPSec安全策略RTA应用在外网接口[H3C]interfaceGigabitEthernet0/0[H3C-GigabitEthernet0/0]undonatoutbound[H3C-GigabitEthernet0/0]natoutbound3001[H3C-GigabitEthernet0/0]ipsecapplypolicyRTA[H3C-GigabitEthernet0/0]quit#配置到对端内网的路由[H3C]iproute-static172.
16.
1.
024Tunnel0#保存配置[H3C]saveforce3.
3设置B路由器#配置GRE隧道,system-viewSystemView:returntoUserViewwithCtrl+Z.
[H3C]interfaceTunnel0modegre[H3C-Tunnel0]ipaddress10.
1.
2.
224[H3C-Tunnel0]source2.
2.
2.
1[H3C-Tunnel0]destination1.
1.
1.
1#配置一个访问控制列表3000,定义由子网1.
1.
1.
0/24去子网2.
2.
2.
0/24的数据流,封装GRE数据流.
[H3C]acladvanced3000[H3C-acl-ipv4-adv-3000]rulepermitipsource2.
2.
2.
00.
0.
0.
255destination1.
1.
1.
00.
0.
0.
255[H3C-acl-ipv4-adv-3000]quit#配置公网口NAT要关联的ACl3001,作用是把IPSec感兴趣流从NAT转换的数据流deny掉,防止IPSec数据流被NAT优先转换[H3C]aclnumber3001[H3C-acl-adv-3001]rule0denyipsource2.
2.
2.
00.
0.
0.
255destination1.
1.
1.
00.
0.
0.
255[H3C-acl-adv-3001]rule1permitip[H3C-acl-adv-3001]quit#创建一条IKE提议1,指定IKE提议使用的认证算法为MD5,加密算法为3des-cbc[H3C]ikeproposal1[H3C-ike-proposal-1]authentication-algorithmmd5[H3C-ike-proposal-1]encryption-algorithm3des-cbc[H3C-ike-proposal-1]quit#创建并配置IKEkeychain,名称为RTA.
[H3C]ikekeychainRTA#配置对端IP地址为1.
1.
1.
1,使用的预共享密钥为明文123456[H3C-ike-keychain-RTA]pre-shared-keyaddress1.
1.
1.
1255.
255.
255.
0keysimple123456[H3C-ike-keychain-RTA]quit#创建并配置IKEprofile,名称为RTA,引用上面配置的keychainRTA,配置本地地址为本端的公网接口地址2.
2.
2.
1,对端地址为对端公网接口地址1.
1.
1.
1,引用之前配置IKE提议1[H3C]ikeprofileRTA[H3C-ike-profile-RTA]keychainRTA[H3C-ike-profile-RTA]local-identityaddress2.
2.
2.
1[H3C-ike-profile-RTA]matchremoteidentityaddress1.
1.
1.
1255.
255.
255.
0[H3C-ike-profile-RTA]proposal1[H3C-ike-profile-RTA]quit#配置IPsec安全提议1,ESP协议采用的加密算法为3des-cbc,认证算法为md5[H3C]ipsectransform-set1[H3C-ipsec-transform-set-1]espencryption-algorithm3des-cbc[H3C-ipsec-transform-set-1]espauthentication-algorithmmd5[H3C-ipsec-transform-set-1]quit#创建IPsec安全策略,名称为RTA,序列号为1,设置对端地址为对端公网地址1.
1.
1.
1,引用之前创建的ACL3000,引用之前创建的IKEprofileRTA,引用之前的IPSec安全提议1[H3C]ipsecpolicyRTA1isakmp[H3C-ipsec-policy-isakmp-RTA-1]remote-address1.
1.
1.
1[H3C-ipsec-policy-isakmp-RTA-1]securityacl3000[H3C-ipsec-policy-isakmp-RTA-1]transform-set1[H3C-ipsec-policy-isakmp-RTA-1]ike-profileRTA[H3C-ipsec-policy-isakmp-RTA-1]quit#设置外网口做NAT转换的时候关联ACL3001(如果之前已经在外网口配置了natoutbound,需要先undo掉),并将IPSec安全策略RTA应用在外网接口[H3C]interfaceGigabitEthernet0/0[H3C-GigabitEthernet0/0]undonatoutbound[H3C-GigabitEthernet0/0]natoutbound3001[H3C-GigabitEthernet0/0]ipsecapplypolicyRTA[H3C-GigabitEthernet0/0]quit#配置到对端内网的路由[H3C]iproute-static192.
168.
1.
024Tunnel0#保存配置[H3C]saveforce3.
4验证配置结果#在RTA路由器上带源pingRTB路由器内网网关地址配置关键点
1适用产品系列本案例适用于如2600-6-X1、MSR2600-10-X1、MSR3600-28-X1、MSR3600-28-X1-DP等MSR2600-XX-X1、3610-X1系列的路由器.
1.
2配置需求及实现的效果RTA路由器外网口G0/0的地址为1.
1.
1.
1(模拟运营商公网固定地址环境),RTB路由器外网口G0/0的地址为2.
2.
2.
1(模拟运营商公网固定地址环境),两个路由器外网口地址之间路由可达可以互相ping通.
要对RTA路由器所在的内网(192.
168.
1.
0/24)与RTB路由器所在的内网(172.
16.
1.
0/24),实现两端内网终端通过GREoverIPsecVPN隧道进行互访.
2组网图配置步骤3配置步骤3.
1配置路由器基本上网#路由器基本上网配置省略,MSRV7路由器的上网具体设置步骤请参考"2.
1.
2路由器外网使用固定IP地址上网配置方法"章节中"MSR830-WiNet系列路由器基本上网(静态IP)命令行配置(V7)"案例3.
2设置A路由器#配置GRE隧道,system-viewSystemView:returntoUserViewwithCtrl+Z.
[H3C]interfaceTunnel0modegre[H3C-Tunnel0]ipaddress10.
1.
2.
124[H3C-Tunnel0]source1.
1.
1.
1[H3C-Tunnel0]destination2.
2.
2.
1#配置一个访问控制列表3000,定义由子网1.
1.
1.
0/24去子网2.
2.
2.
0/24的数据流,封装GRE数据流.
[H3C]acladvanced3000[H3C-acl-ipv4-adv-3000]rulepermitipsource1.
1.
1.
00.
0.
0.
255destination2.
2.
2.
00.
0.
0.
255[H3C-acl-ipv4-adv-3000]quit#配置公网口NAT要关联的ACl3001,作用是把IPSec感兴趣流从NAT转换的数据流deny掉,防止IPSec数据流被NAT优先转换[H3C]aclnumber3001[H3C-acl-adv-3001]rule0denyipsource1.
1.
1.
00.
0.
0.
255destination2.
2.
2.
00.
0.
0.
255[H3C-acl-adv-3001]rule1permitip[H3C-acl-adv-3001]quit#创建一条IKE提议1,指定IKE提议使用的认证算法为MD5,加密算法为3des-cbc[H3C]ikeproposal1[H3C-ike-proposal-1]authentication-algorithmmd5[H3C-ike-proposal-1]encryption-algorithm3des-cbc[H3C-ike-proposal-1]quit#创建并配置IKEkeychain,名称为RTA.
[H3C]ikekeychainRTA#配置对端IP地址为2.
2.
2.
1,使用的预共享密钥为明文123456[H3C-ike-keychain-RTA]pre-shared-keyaddress2.
2.
2.
1255.
255.
255.
0keysimple123456[H3C-ike-keychain-RTA]quit#创建并配置IKEprofile,名称为RTA,引用上面配置的keychainRTA,配置本地地址为本端的公网接口地址1.
1.
1.
1,对端地址为对端公网接口地址2.
2.
2.
1,引用之前配置IKE提议1[H3C]ikeprofileRTA[H3C-ike-profile-RTA]keychainRTA[H3C-ike-profile-RTA]local-identityaddress1.
1.
1.
1[H3C-ike-profile-RTA]matchremoteidentityaddress2.
2.
2.
1255.
255.
255.
0[H3C-ike-profile-RTA]proposal1[H3C-ike-profile-RTA]quit#配置IPsec安全提议1,ESP协议采用的加密算法为3des-cbc,认证算法为md5[H3C]ipsectransform-set1[H3C-ipsec-transform-set-1]espencryption-algorithm3des-cbc[H3C-ipsec-transform-set-1]espauthentication-algorithmmd5[H3C-ipsec-transform-set-1]quit#创建IPsec安全策略,名称为RTA,序列号为1,设置对端地址为对端公网地址2.
2.
2.
1,引用之前创建的ACL3000,引用之前创建的IKEprofileRTA,引用之前的IPSec安全提议1[H3C]ipsecpolicyRTA1isakmp[H3C-ipsec-policy-isakmp-RTA-1]remote-address2.
2.
2.
1[H3C-ipsec-policy-isakmp-RTA-1]securityacl3000[H3C-ipsec-policy-isakmp-RTA-1]transform-set1[H3C-ipsec-policy-isakmp-RTA-1]ike-profileRTA[H3C-ipsec-policy-isakmp-RTA-1]quit#设置外网口做NAT转换的时候关联ACL3001(如果之前已经在外网口配置了natoutbound,需要先undo掉),并将IPSec安全策略RTA应用在外网接口[H3C]interfaceGigabitEthernet0/0[H3C-GigabitEthernet0/0]undonatoutbound[H3C-GigabitEthernet0/0]natoutbound3001[H3C-GigabitEthernet0/0]ipsecapplypolicyRTA[H3C-GigabitEthernet0/0]quit#配置到对端内网的路由[H3C]iproute-static172.
16.
1.
024Tunnel0#保存配置[H3C]saveforce3.
3设置B路由器#配置GRE隧道,system-viewSystemView:returntoUserViewwithCtrl+Z.
[H3C]interfaceTunnel0modegre[H3C-Tunnel0]ipaddress10.
1.
2.
224[H3C-Tunnel0]source2.
2.
2.
1[H3C-Tunnel0]destination1.
1.
1.
1#配置一个访问控制列表3000,定义由子网1.
1.
1.
0/24去子网2.
2.
2.
0/24的数据流,封装GRE数据流.
[H3C]acladvanced3000[H3C-acl-ipv4-adv-3000]rulepermitipsource2.
2.
2.
00.
0.
0.
255destination1.
1.
1.
00.
0.
0.
255[H3C-acl-ipv4-adv-3000]quit#配置公网口NAT要关联的ACl3001,作用是把IPSec感兴趣流从NAT转换的数据流deny掉,防止IPSec数据流被NAT优先转换[H3C]aclnumber3001[H3C-acl-adv-3001]rule0denyipsource2.
2.
2.
00.
0.
0.
255destination1.
1.
1.
00.
0.
0.
255[H3C-acl-adv-3001]rule1permitip[H3C-acl-adv-3001]quit#创建一条IKE提议1,指定IKE提议使用的认证算法为MD5,加密算法为3des-cbc[H3C]ikeproposal1[H3C-ike-proposal-1]authentication-algorithmmd5[H3C-ike-proposal-1]encryption-algorithm3des-cbc[H3C-ike-proposal-1]quit#创建并配置IKEkeychain,名称为RTA.
[H3C]ikekeychainRTA#配置对端IP地址为1.
1.
1.
1,使用的预共享密钥为明文123456[H3C-ike-keychain-RTA]pre-shared-keyaddress1.
1.
1.
1255.
255.
255.
0keysimple123456[H3C-ike-keychain-RTA]quit#创建并配置IKEprofile,名称为RTA,引用上面配置的keychainRTA,配置本地地址为本端的公网接口地址2.
2.
2.
1,对端地址为对端公网接口地址1.
1.
1.
1,引用之前配置IKE提议1[H3C]ikeprofileRTA[H3C-ike-profile-RTA]keychainRTA[H3C-ike-profile-RTA]local-identityaddress2.
2.
2.
1[H3C-ike-profile-RTA]matchremoteidentityaddress1.
1.
1.
1255.
255.
255.
0[H3C-ike-profile-RTA]proposal1[H3C-ike-profile-RTA]quit#配置IPsec安全提议1,ESP协议采用的加密算法为3des-cbc,认证算法为md5[H3C]ipsectransform-set1[H3C-ipsec-transform-set-1]espencryption-algorithm3des-cbc[H3C-ipsec-transform-set-1]espauthentication-algorithmmd5[H3C-ipsec-transform-set-1]quit#创建IPsec安全策略,名称为RTA,序列号为1,设置对端地址为对端公网地址1.
1.
1.
1,引用之前创建的ACL3000,引用之前创建的IKEprofileRTA,引用之前的IPSec安全提议1[H3C]ipsecpolicyRTA1isakmp[H3C-ipsec-policy-isakmp-RTA-1]remote-address1.
1.
1.
1[H3C-ipsec-policy-isakmp-RTA-1]securityacl3000[H3C-ipsec-policy-isakmp-RTA-1]transform-set1[H3C-ipsec-policy-isakmp-RTA-1]ike-profileRTA[H3C-ipsec-policy-isakmp-RTA-1]quit#设置外网口做NAT转换的时候关联ACL3001(如果之前已经在外网口配置了natoutbound,需要先undo掉),并将IPSec安全策略RTA应用在外网接口[H3C]interfaceGigabitEthernet0/0[H3C-GigabitEthernet0/0]undonatoutbound[H3C-GigabitEthernet0/0]natoutbound3001[H3C-GigabitEthernet0/0]ipsecapplypolicyRTA[H3C-GigabitEthernet0/0]quit#配置到对端内网的路由[H3C]iproute-static192.
168.
1.
024Tunnel0#保存配置[H3C]saveforce3.
4验证配置结果#在RTA路由器上带源pingRTB路由器内网网关地址配置关键点
HostKvm($4.25/月),俄罗斯CN2带宽大升级,俄罗斯/香港高防限量5折优惠进行中
HostKvm是一家成立于2013年的国外VPS服务商,产品基于KVM架构,数据中心包括日本、新加坡、韩国、美国、俄罗斯、中国香港等多个地区机房,均为国内直连或优化线路,延迟较低,适合建站或者远程办公等。本月,商家旗下俄罗斯、新加坡、美国、香港等节点带宽进行了大幅度升级,俄罗斯机房国内电信/联通直连,CN2线路,150Mbps(原来30Mbps)带宽起,目前俄罗斯和香港高防节点5折骨折码继续优惠中...
一键去除宝塔面板各种计算题与延时等待
现在宝塔面板真的是越来越过分了,删除文件、删除数据库、删除站点等操作都需要做计算题!我今天升级到7.7版本,发现删除数据库竟然还加了几秒的延时等待,也无法跳过!宝塔的老板该不会是小学数学老师吧,那么喜欢让我们做计算题!因此我写了个js用于去除各种计算题以及延时等待,同时还去除了软件列表页面的bt企业版广告。只需要执行以下命令即可一键完成!复制以下命令在SSH界面执行:Layout_file="/w...
美国cera机房 2核4G 19.9元/月 宿主机 E5 2696v2x2 512G
美国特价云服务器 2核4G 19.9元杭州王小玉网络科技有限公司成立于2020是拥有IDC ISP资质的正规公司,这次推荐的美国云服务器也是商家主打产品,有点在于稳定 速度 数据安全。企业级数据安全保障,支持异地灾备,数据安全系数达到了100%安全级别,是国内唯一一家美国云服务器拥有这个安全级别的商家。E5 2696v2x2 2核 4G内存 20G系统盘 10G数据盘 20M带宽 100G流量 1...
路由器配置为你推荐
-
硬盘工作原理数据存储的原理是什么地图应用哪个手机定位软件最好用?甲骨文不满赔偿公司倒闭员工不满一年怎么赔偿18comic.fun贴吧经常有人说A站B站,是什么意思啊?336.com求一个游戏的网站 你懂得javmoo.com0904-javbo.net_avop210hhb主人公叫什么,好喜欢,有知道的吗www.mywife.ccMywife-No 00357 MANAMI SAITO种子下载地址有么?求好心人给www.kaspersky.com.cn现在网上又有病毒了?ww.66bobo.com这个www.中国应急救援网.com查询证件是真是假?www.15job.com南方人才市场有官方网站是什么?