配置本地网关设备
更新时间:2020-05-06 13:55:57
在网宿云上相关配置以下表为例:
| 协议 | 配置 | 示例值 |
|---|---|---|
| IKE | 验证算法 | SHA1 |
| IKE | 加密算法 | AES-128 |
| IKE | IKE版本 | V1 |
| IKE | 完整前向保密 | group5 |
| IKE | SA生存时间(秒) | 3600 |
| IPSec | 验证算法 | SHA1 |
| IPSec | 加密算法 | AES-128 |
| IPSec | 封装模式 | Tunnel |
| IPSec | 传输协议 | ESP |
| IPSec | 完整前向保密 | group5 |
| IPSec | SA生存时间(秒) | 28800 |
| 隧道配置 | 隧道模式 | 主模式(Main) |
| 隧道配置 | 预共享密钥 | Wangsu@123 |
| VPC配置 | 子网网段 | 192.168.1.0/24 |
| VPC配置 | 子网网段 | 192.168.2.0/24 |
| VPC配置 | 静态公网IP | 120.13.11.44 |
| IDC配置 | 子网网段 | 192.168.3.0 |
| IDC配置 | 静态公网IP | 120.88.14.15 |
操作步骤
- 以HUAWEI USG6600防火墙为例,登录防火墙设备命令行配置界面。
- 查看防火墙版本
display version
17:20:502017/03/09
Huawei Versatile Security Platform Software
Software Version: USG6600 V100R001C30SPC300(VRP (R) Software, Version 5.30)
- 创建ACL并绑定到对应的VPN-instance
acl number 3065 vpn-instance vpn64
rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
q
- 创建IKE Proposal
ike proposal 64
dh group5
authentication-algorithm sha1
integrity-algorithm aes-128
sa duration 3600
q
- 创建IKE Peer,并引用之前创建的IKE Proposal
ike peer vpnikepeer_64
pre-shared-key ******** (********为您输入的预共享密码)
ike-proposal 64
undo version 2
remote-address vpn-instance vpn64 120.13.11.44
sa binding vpn-instance vpn64
q
- 创建IPSec协议
ipsec proposal ipsecpro64
encapsulation-mode tunnel
esp authentication-algorithm sha1
q
- 创建IPSec策略,并引用IKE Policy和IPSec Proposal
ipsec policy vpnipsec64 1 isakmp
security acl 3065
pfs dh-group5
ike-peer vpnikepeer_64
proposal ipsecpro64
local-address 120.88.14.15
q
- 将IPSec策略应用到相应的子接口
interface GigabitEthernet0/0/2.64
ipsec policy vpnipsec64
q
- 测试连通性
本篇文档内容对您是否有帮助?
有帮助
我要反馈