华为路由器 IPSec VPN 配置

这篇具有很好参考价值的文章主要介绍了华为路由器 IPSec VPN 配置。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

需求:

通过 IPSecVPN 实现上海与成都内网互通

拓扑图如下:

华为路由器 IPSec VPN 配置

一、首先完成网络配置

1、R1 路由器设置

<Huawei>sys
[Huawei]sys R1
[R1]un in en

# 开启DHCP
[R1]dhcp enable

# 设置内网接口
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip addr 10.0.10.254 24
[R1-GigabitEthernet0/0/0]dhcp select int
[R1-GigabitEthernet0/0/0]quit

# 设置外网接口
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip addr 100.0.0.2 24
[R1-GigabitEthernet0/0/1]quit

# 设置 NAT
[R1]acl 3000

# 配置 NO-NAT
[R1-acl-adv-3000]rule 5 deny ip source 10.0.10.0 0.0.0.255 destination 10.0.20.0 0.0.0.255

[R1-acl-adv-3000]rule 10 permit ip source 10.0.10.0 0.0.0.255
[R1-acl-adv-3000]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 3000

# 设置默认路由
[R1-GigabitEthernet0/0/1]ip route-static 0.0.0.0 0 100.0.0.1

2、R2路由器设置

# 重命名并关闭提示
<Huawei>sys
[Huawei]sys R2
[R2]un in en

# 开启DHCP
[R2]dhcp enable

# 配置内网地址
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip addr 10.0.20.254 24
[R2-GigabitEthernet0/0/0]dhcp select int
[R2-GigabitEthernet0/0/0]quit

# 配置外网接口
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ip addr 200.0.0.2 24
[R2-GigabitEthernet0/0/1]quit

# 配置 NAT
[R2]acl 3000

# 配置 NO-NAT
[R2-acl-adv-3000]rule 5 deny ip source 10.0.20.0 0.0.0.255 destination 10.0.10.0 0.0.0.255

[R2-acl-adv-3000]rule 10 permit ip source 10.0.20.0 0.0.0.255
[R2-acl-adv-3000]int g0/0/1
[R2-GigabitEthernet0/0/1]nat outbound 3000

# 配置默认路由
[R2-GigabitEthernet0/0/1]ip route-static 0.0.0.0 0 200.0.0.1

3、测试

 PC1能访问 R2 的外网地址

PC1>ping 200.0.0.2

Ping 200.0.0.2: 32 data bytes, Press Ctrl_C to break
From 200.0.0.2: bytes=32 seq=1 ttl=253 time=31 ms
From 200.0.0.2: bytes=32 seq=2 ttl=253 time=31 ms
From 200.0.0.2: bytes=32 seq=3 ttl=253 time=32 ms
From 200.0.0.2: bytes=32 seq=4 ttl=253 time=15 ms
From 200.0.0.2: bytes=32 seq=5 ttl=253 time=15 ms

--- 200.0.0.2 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 15/24/32 ms

PC2能访问 R1 的外网地址

PC2>ping 100.0.0.2

Ping 100.0.0.2: 32 data bytes, Press Ctrl_C to break
From 100.0.0.2: bytes=32 seq=1 ttl=253 time=78 ms
From 100.0.0.2: bytes=32 seq=2 ttl=253 time=31 ms
From 100.0.0.2: bytes=32 seq=3 ttl=253 time=32 ms
From 100.0.0.2: bytes=32 seq=4 ttl=253 time=31 ms
From 100.0.0.2: bytes=32 seq=5 ttl=253 time=31 ms

--- 100.0.0.2 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 31/40/78 ms

PC1 不能访问 PC2,反之也是

PC1>ping 10.0.20.253

Ping 10.0.20.253: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!

--- 10.0.20.253 ping statistics ---
  5 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss

上面的网络情况跟生产环境基本一致。我们要在 R1 跟 R2 之间配置 IPSec VPN,实现上海与成都两地内网互通

二、配置 IPSec

1、R1 路由器设置

(1)IKE 第一阶段 建立 IKE(ISAKMP)SA

# 配置 ike 提议
[R1]ike proposal 1
[R1-ike-proposal-1]encryption-algorithm aes-cbc-256
[R1-ike-proposal-1]authentication-algorithm sha1
[R1-ike-proposal-1]authentication-method pre-share 
[R1-ike-proposal-1]dh group14
[R1-ike-proposal-1]sa duration 1200
[R1-ike-proposal-1]quit


# 配置 ike 对等体,使用 v2 协议
[R1]ike peer 1 v2

# 共享密码
[R1-ike-peer-1]pre-shared-key simple 123456

# 引用 ike 提议
[R1-ike-peer-1]ike-proposal 1

# 配置远程地址
[R1-ike-peer-1]remote-address 200.0.0.2

(2)IKE 第二阶段 建立 IPSec SA

# 配置兴趣流
[R1-ike-peer-1]acl 3001
[R1-acl-adv-3001]rule permit ip source 10.0.10.0 0.0.0.255 destination 10.0.20.0 0.0.0.255
[R1-acl-adv-3001]quit



# 配置 ipsec 提议
[R1]ipsec proposal 1

# 认证算法
[R1-ipsec-proposal-1]esp authentication-algorithm sha1

# 加密算法
[R1-ipsec-proposal-1]esp encryption-algorithm aes-256

# 缺省情况下,IPSec安全提议采用安全协议为ESP协议
[R1-ipsec-proposal-1]transform esp
[R1-ipsec-proposal-1]quit



# 配置 ipsec 策略
[R1]ipsec policy 1 1 isakmp

# 引用 acl
[R1-ipsec-policy-isakmp-1-1]security acl 3001

# 引用 ike 对等体
[R1-ipsec-policy-isakmp-1-1]ike-peer 1

# 引用 ipsec 提议       
[R1-ipsec-policy-isakmp-1-1]proposal 1
[R1-ipsec-policy-isakmp-1-1]quit



# 接口绑定策略
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ipsec policy 1

2、R2 路由器设置

# 配置 ike 提议
[R2]ike proposal 1
[R2-ike-proposal-1]encryption-algorithm aes-cbc-256
[R2-ike-proposal-1]authentication-algorithm sha1
[R2-ike-proposal-1]authentication-method pre-share 
[R2-ike-proposal-1]dh group14
[R2-ike-proposal-1]sa duration 1200
[R2-ike-proposal-1]quit

# 配置 ike 对等体
[R2]ike peer 1 v2
[R2-ike-peer-1]pre-shared-key simple 123456
[R2-ike-peer-1]ike-proposal 1
[R2-ike-peer-1]remote-address 100.0.0.2

# 配置兴趣流
[R2-ike-peer-1]acl 3001
[R2-acl-adv-3001]rule permit ip source 10.0.20.0 0.0.0.255 destination 10.0.10.0 0.0.0.255
[R2-acl-adv-3001]quit

# 配置 ipsec 提议
[R2]ipsec proposal 1
[R2-ipsec-proposal-1]esp authentication-algorithm sha1
[R2-ipsec-proposal-1]esp encryption-algorithm aes-256
[R2-ipsec-proposal-1]transform esp
[R2-ipsec-proposal-1]quit

# 配置 ipsec 策略
[R2]ipsec policy 1 1 isakmp
[R2-ipsec-policy-isakmp-1-1]security acl 3001
[R2-ipsec-policy-isakmp-1-1]ike-peer 1         
[R2-ipsec-policy-isakmp-1-1]proposal 1
[R2-ipsec-policy-isakmp-1-1]quit

# 接口绑定策略
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ipsec policy 1

3、我们再次测试 pc1 访问 pc2,这次发现通了,说明 IPSec 通了

PC1>ping 10.0.20.253

Ping 10.0.20.253: 32 data bytes, Press Ctrl_C to break
From 10.0.20.253: bytes=32 seq=1 ttl=127 time=16 ms
From 10.0.20.253: bytes=32 seq=2 ttl=127 time=31 ms
From 10.0.20.253: bytes=32 seq=3 ttl=127 time=32 ms
From 10.0.20.253: bytes=32 seq=4 ttl=127 time=46 ms
From 10.0.20.253: bytes=32 seq=5 ttl=127 time=16 ms

--- 10.0.20.253 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 16/28/46 ms

4、我们在 R1 路由器 g0/0/1 接口抓包

(1)我们在 pc1 上面 ping  pc2

华为路由器 IPSec VPN 配置

通过上面得出当 10.0.10.0 网段访问 10.0.20.0 网段时,的确走VPN隧道协议,并且目的地址也变成了外网地址。 

(2)我们再拿 PC1 访问 成都的外网地址 200.0.0.2,然后进行抓包

华为路由器 IPSec VPN 配置

通过上面得出走的就是常规的路由了,至于为什么我拿 PC1的地址去 访问 200.0.0.2,抓包显示的原地址是 100.0.0.2,是因为我们在R1上面配了 NAT,所有流量都以 100.0.0.2 出去文章来源地址https://www.toymoban.com/news/detail-487637.html

到了这里,关于华为路由器 IPSec VPN 配置的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 华为IPSec VPN的配置

    目录 概念 阶段一 阶段二 IPSec的配置实验  先进行基配置,保证路由可达  配置阶段一 配置ike提案 配置ike邻居 配置阶段二 定义感兴趣流 把ipsec策略应用到接口 结果测试 IPSec是一个框架,它不是具体指某个协议,而是定义了一个框架,由各种协议组和协商而成。该框架涉及

    2024年02月08日
    浏览(44)
  • 【华为】IPsec VPN 实验配置(地址固定)

    因为本篇文章,就是IPsec的实验配置的话,它们 两端的IP地址是固定 的 那么就用第一阶段的主模式(Main Mode) 和第二阶段的快速模式(Quick Mode)就好啦 后面会有一个地址不固定的情况下,这个就需要用到野蛮模式的,也就是第一阶段会更改模式啦 R1为企业总部网关,R3为企

    2024年01月23日
    浏览(64)
  • NAT 地址转换路由器配置命令(华为路由器)

      #AR1路由器配置 # acl 2000    rule permit source any # interface GigabitEthernet0/0/1  nat outbound 2000  ip address 1.1.1.1 24 # interface GigabitEthernet0/0/0  ip address 172.16.1.1 255.255.255.0  # ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 ip route-static 192.168.10.0 255.255.255.0 172.16.1.2 ip route-static 192.168.20.0 255.255.255.0 172.16.1.

    2024年02月17日
    浏览(61)
  • 华为路由器配置笔记

    路由器(Router),是连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号,路由器工作在网络层,用来跨网段通信,路由器具有判断网络地址和选择IP路径的功能,它能在多网络互联环境中,建立灵活的连接,可用完全不同的数

    2024年02月16日
    浏览(44)
  • 华为路由器ensp静态路由配置实例

    实验环境:两台客户机,两台路由器。 第一步搭建如下拓扑图。 第二步,在pc1配置如下IP地址。 第三步,在pc2配置如下IP地址。 第四步,在AR1配置如下命令。 第五步,在AR2配置如下命令。 第六步,配置静态路由,在AR1配置如下命令(系统模式)。 第七步,配置静态路由,

    2024年02月09日
    浏览(49)
  • 华为路由器 配置telent

    华为路由器 配置telent 1.密码登录 2.aaa认证 密码登录 首先认证之间的路由器互通 [Huawei]user-interface vty 0 4 配置vty [Huawei-ui-vty0-4]set authentication password cipher 123456 登陆密码设置 [Huawei-ui-vty0-4]user privilege level 15 用户等级15 aaa认证 先配通 [Huawei]aaa [Huawei-aaa]local-user wang password cipher 1

    2024年02月09日
    浏览(39)
  • 华为路由器基础配置——IP配置

    所有的设备均在eNSP的模拟进行!!!  为了避免信息回复造成的干扰,都在用户视图下面取消了信息发送

    2024年02月11日
    浏览(49)
  • 华为荣耀路由器怎么样?华为荣耀路由配置功能详细介绍

    相信很多朋友对荣耀路由配喊感兴趣,想要了解华为荣耀路由器的配置情况,今天小编就为大家做详细介绍,下面就和小编一起去看下吧。 今天华为荣耀举行MWC2015荣耀新品品鉴会。在发布全新荣耀X2巨屏手机的同时,华为还正式推出荣耀路由器。 荣耀路由器体积为90×90×90

    2024年02月08日
    浏览(48)
  • 华为路由器DHCP中继配置

    首先我们先看拓扑图: 先对DHCP服务器进行配置R2  然后对DHCP中继路由器进行配置(R1) 配置完成后PC机选择DHCP然后应用就可以获得IP地址了。

    2024年02月11日
    浏览(56)
  • 华为路由器GRE隧道配置

    一、配置目标 --------------------------------------------------------------------------------- Gre源地址:    192.168.101.250(专线客户端地址)     //此地址为联通为客户分配的MSTP专线互连地址,用于建立GRE隧道,联通侧MSTP专线互连地址为192.168.101.249(联通侧专线地址)              Gre目标地

    2024年02月08日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包