H3C&华为-IPsecVPN配置教程

H3C&华为-IPsecVPN配置教程

第一篇：网关对网关IPSec-VPN

一、H3C路由

1、型号：MER5200；软件版本： version 7.1.064, Release 0809P07；固定外网IP；

2、添加静态路由

添加至对端公网和对端私网路由两条，如下图：

 

3、创建IPsecVPN

3.1 “虚拟专网”---“IPsecVPN”---新建-如下图：

3.2 名称----自行编辑；接口---选择外网出口，组网方式---分支节点；对端网关---对端外网IP；认证方式---预共享密钥；预共享密钥要与对端路由一致；

3.3 保护流配置

H3C路由器下有个内网段需要与对端通信，就添加几个。本例172.16.10.0/24与10.10.11.0/24为本地内网，172.24.0.0/24为对端内网。

注：H3C设备不需要单独再做NAT配置。

 

4、显示高级配置

4.1 ike配置：主模式、本地外网、对端外网，关闭对等体检测，算法组推荐。如下图：

 

4.2 IPsec配置：按照默认配置即可。

 

5、监控信息

待对端华为路由配置完成且正确后，监控会显示如下信息。

 

6、命令行检查

[H3C]dis acl all

 

Dis ike sa

 

Dis ipsec sa

 

   

二、华为路由

1、型号：AR1220-S，软件版本：[V200R007C00SPC900]，固定外网IP。

2、添加静态路由

添加至对端公网和对端私网路由两条，如下图：

 

2、配置高级ACL

2.1 新建“nonat”，添加目的地址10.10.11.0/24,172.16.10.0/24不做NAT转换两条，其他允许NAT转换；如下图

2.2 新建“nj-g”,i添加本地内网172.24.0.0/24至目的内网10.10.11.0/24,172.16.10.0/24的acl，此路由走IPsec。如下图

 

2.3 创建“生效时间”

 

3、NAT应用高级acl

“ip业务”--“NAT”---“外网访问”---编辑----ACL名称选择“nonat”。

 

4、创建IPsecVPN

4.1 ipsec名称---自行编辑，接口名称--外网出口，组网模式----分支站点，effcent VPN--不启用，连接编号---自行选择，IKE版本---V1，协商模式--主模式，对端地址---对端外网，预共享密钥---要与对端保持一致，其他如下图，参数要与H3C一致。

 

4.2 应用高级acl----“nj-g”

 

4.3 IPsec全局配置---保持默认。

 

5、命令行检查

 

 

 

结论：

　　H3C路由配置相对简单，不用单独配置ACL和NAT。本例H3C MER5200，LAN为1.1.1.254与下联设备IP：1.1.1.1互联，下联设备网段为：10.10.11.0/24,172.16.10.0/24.

华为路由器需要配置高级ACL、NAT应用ACL，注意访问对端内网不进行NAT转换。本例增加的“nonat”即为解决此问题。其他IPsecVPN配置参数要与H3C路由的保持一致。

 

第二篇：拔号VPN与对端内网通信

 　　需求：在H3C端进行L2TP拔号，能够访问对端（华为路由器）的内网段即：172.24.0.0/24.

　　在上一篇基础上（网关对网关隧道已经建立成功），进行H3C与华为路由进行设置如下：

一、H3C路由

1、在“虚拟专网”----“L2TP服务器”，查看L2TP的虚拟网关为：10.0.0.1，用户拔号后获取地址池为：10.0.0.2--10.0.0.200.如下图

 

2、增加保护流配置：如下图

 

3、当华为端路由器配置完成后，刷新配置看看有无新增加监控选项。

 

二、华为路由器

1、在“安全”---“acl”--“高级acl”中增加两条acl。第1条是nonat，第2条是保护允许策略。如下图配置。

 

以上都配置完成后，可以进行H3C端进行拔号测试。是否已经可以访问对端路由器下的内网ip。

2021-07-28