手把手教你,产业路由器与H3C企业级防火墙构建IPsec VPN利用指南
一、网络拓扑
在防火墙与ORC305之间创建一个宁静隧道,对客户路由器端装备子网(192.168.2.0/24),与防火墙端办事器子网(172.16.99.0/24)之间的数据流举行宁静保护。宁静协议接纳ESP,加密算法接纳3DES,认证算法接纳MD5,组网拓扑图如图所示。
二、H3C SECPATH U200-A端设置引导
(此处以大多客户使用专线上网情势为例)
1、条件准备事情设置IPSec VPN时应确保该经过该装备以前可以正常上网,WAN,LAN,NAT等正常事情,如下图GigabitEthernet 0/1为WAN公网IP X.X.X.242,GigabitEthernet 0/4为LAN,IP为172.x.x.x/24
Interface所属宁静域
2、感兴致流的ACL添加以及设置在装备中存在ACL3000和3004,该ACL是被NAT所调用,我们必要创建一条现场为192.168.2.0/24(目标网络)网段与H3C表里网段172.22.12.0/24(源网络)的ACL举行设置,如下新建ALC3010。以源网络到目标网络的IP数据流为感兴致流。防火墙-ACL-新建
防火墙-ACL-新建-3010
防火墙-ACL-3010-利用
防火墙-ACL-3010-利用-新建:在ALC 3010中添加端正ID 100,婚配(permit)源网络至目标网络的的数据流,源网络为H3C此中的一个LAN172.22.12.0/24,目标网络为现场LAN 192.168.2.0/24。
3、在原有设置的NAT中排感兴致流防火墙-ACL-3000-利用-新建:新建一个ID号小于1000和2000的ID比如100,制止(deny),感兴致流畅过NAT。
防火墙-ACL-3004-利用-新建:新建一个ID号小于1000和2000的ID比如100,制止(deny),感兴致流畅过NAT。
4、创建IKE 4.1 VPN-IKE-对等体-新建
对等体称呼:test-1(自界说)协商形式:Aggressive(主动形式或蛮横形式)对端网关-主机名:test1对端ID:test1(FQDN,由于现场路由器拨号取得的是动态私网IP,以是使用FQDN来举行对每个对等体举行识别,每次新建ID不成以反复)启用DPD功效:打钩选择底下设置的DPD战略号10启用NAT穿越:打勾预共享秘钥:abc123(自界说)
4.2 VPN-IKE-宁静发起-新建IKE宁静发起号10认证办法:Preshared Key认证算法:MD5加密算法:3DES-CBC DH组:Group2 SA活着周期:86400秒(下图只是例图)
4.3 VPN-IKE-DPD(DPD Dead Peer Detection)VPN-IKE-DPD新建DPD称呼:10触发DPD时间距离:60s等候DPD现有报文时:60s(下图只是例图)
5、IPSec 5.1 IPSec宁静发起IPSec宁静发起名:10报文封装形式:tunnel ESP认证算法:MD5 ESP加密算法:3des
5.2创建IPSec模板设置模板称呼:test-1(自界说)IKE对等体:test-1(之前以前界说的IKE)宁静发起:10 PFS:“选择空”(与截图不符注意)ACL:3010
5.3调用IPSec模板设置IPSec-使用-G0/1-利用调用战略:test-1
6、Policy防火墙-宁静战略-域间战略-新建:源域:untunst目标域:trust战略端正:10源IP:192.168.2.0 0.0.0.255(与图中不符注意)目标IP:172.22.12.0 0.0.0.0255(与图中不符注意)
三、ORC305路由器端设置引导
1、将SIM卡插退路由器卡槽
2、给装备上电,登入路由器web页面(默以为192.168.2.1)
3、进入网络→接口→连链路备份界面启用对应SIM卡并上调链路优先级,保存设置
4、对应SIM卡拨号告捷,如今链路变为绿色
5、进入网络→VPN→IPsec界面举行路由器(IPsec VPN客户端)设置
保存并使用设置后即可进入形态→VPN页面看到IPsec VPN形态为已毗连
