ERG2系列路由器IPSECVPN配置

ERG2系列路由器IPSECVPN配置目錄TOC\o"1-5"\h\z\o"CurrentDocument"ERG2系列跖由器IPSECVPN配置 1\o"CurrentDocument"1配置需求或說明 1\o"CurrentDocument"適用產(chǎn)品系列 1\o"CurrentDocument"配置需求及實(shí)現(xiàn)的效果 1\o"CurrentDocument"2組網(wǎng)圖 2\o"CurrentDocument"3配置步驟 2\o"CurrentDocument"基本連接 2\o"CurrentDocument"登陸設(shè)備WEB界面 2配置IPSECVPN 3\o"CurrentDocument"配置IPSEC虛接口 3\o"CurrentDocument"配置IKE安全提議 3\o"CurrentDocument"配置IKE對(duì)等體 4\o"CurrentDocument"配置IPSEC安全提議 5配置IPSEC安全策略 6配置去往對(duì)端子網(wǎng)的靜態(tài)路由 6\o"CurrentDocument"3.4保存配置 7配置需求或說明適用產(chǎn)品系列本案例適用于ERG2產(chǎn)品系列路由器：ER8300G2-X、ER6300G2.ER3260G2,ER3200G2等。配置需求及實(shí)現(xiàn)的效果RouterA和RouterB均使用ERG2路由器，在兩者之間建立一個(gè)安全隧道，對(duì)客戶分支機(jī)構(gòu)A所在的子網(wǎng)(/24)與客戶分支機(jī)構(gòu)B所在的子網(wǎng)(/24)之間的數(shù)據(jù)流進(jìn)行安全保護(hù)，實(shí)現(xiàn)2端子網(wǎng)終端通過IPsecVPN隧道進(jìn)行互訪。2組網(wǎng)圖RouterA伯2.5U.50.2InternetRouterBRouterA伯2.5U.50.2InternetRouterB客戶分支機(jī)構(gòu)A客戶分支機(jī)構(gòu)客戶分支機(jī)構(gòu)A724/24724配置步驟基本連接在路由器接口面板找到LAN接口，用網(wǎng)線將電腦和設(shè)備的任意一個(gè)LAN接口連在一起，電腦可以自動(dòng)獲取192.1681X/24網(wǎng)段的地址。電腦連接好路由器之后完成后打開瀏覽器，在瀏覽器地址欄中輸入http7/登錄設(shè)備管理界而。登陸設(shè)備WEB界面運(yùn)行Web瀏覽器，在地址欄中輸入http://192.168.L1,如下圖所示.回車后跳轉(zhuǎn)到Web登錄頁面，輸入用戶名、密碼(缺省均為admin,區(qū)分大小寫)如下圖所示。H3C用戶名H3C用戶名2碼 單擊【登錄】按鈕或直接回車后，您即可登錄到路由器的Web設(shè)置頁面，如下圖所示。注意：同一時(shí)間，路由器最多允許五個(gè)用戶通過Web設(shè)置頁面進(jìn)行管理。配置IPSECVPN配置IPSEC虛接口單擊［VPN］--【VPN設(shè)置】--【虛接口】，點(diǎn)擊【新增】，綁定對(duì)應(yīng)的WAN口，比如WAN1：H3C安全聯(lián)2!爾￡安全髭議 安全聯(lián)2!爾￡安全髭議 1KE對(duì)導(dǎo)體 IPSec安全餐議IPS?成全工力安全&ESA力上加翌＞安全百區(qū)心ILm名券方向 不。 AHSP!AH翼士 力上加翌＞安全百區(qū)心ILm名券方向 不。 AHSP!AH翼士 ESP8PIESPMi邊通安至阜春3A，［P58c度弟對(duì)不羯的初招無傅佻不問如別的安生停滬-在這里可以說白到祖廟H13當(dāng)歸狀冬，7施逼Q立的各個(gè)會(huì)舲?FW1第1圾供工艮其。條記錄四口I。行”.】史＞■＞。?、設(shè)Hi＞用E3若雷虛接口列表虛接口名稱:綁定接口:若雷虛接口列表虛接口名稱:綁定接口:描述;ipsecO▼Ml▼增加取消增加取消配置IKE安全提議應(yīng)*E安第議-網(wǎng)頁對(duì)話程應(yīng)*E安第議-網(wǎng)頁對(duì)話程安全提詼名稱:IKE四證算法:IKE加密算法;IKEDH組:即 《范圍壯~16個(gè)字符）SHA1▼3DES▼DH2jnodP1024▼配置IKE對(duì)等體單擊【VPN】--【VPN設(shè)置】--【IKE對(duì)等體】，點(diǎn)擊【新增】，配置IKE對(duì)等體：對(duì)等體名稱為ike、綁定虛接口為ipseco（前面已經(jīng)創(chuàng)建）、對(duì)端地址為RouterB的公網(wǎng)ip,即9.協(xié)商模式選擇主模式、安全提議選擇ike（前而已經(jīng)創(chuàng)建）、配置預(yù)共享秘鑰，此處配置為123456（可根據(jù)自己需求自行設(shè)置）、其余選擇默認(rèn)即可。

H3C系短號(hào)蹤 安全&工?■口 】KE安—議［1KEM通體］IPS8C安眾叁在 IP8SC安仝“;＞漿飯二樓爐扶口它性以±H1?8爐扶口它性以±H1?8＞寅全專區(qū)丘”g］［）口肛畝3PVW以。”設(shè)置＞白臾設(shè)百＞設(shè)苗它理i＞用戶，2l^SJ；"電」*’關(guān)襟字名券▼一度閏J7「w支置件序罵??球棒口用送話*?XID*fi 安全亶京DPDZ10主一式—— 1關(guān)陽Z2bjIpsBCD5疔2HI或N*發(fā) 1無出阻期住出區(qū)古陵后，HJSSUf日期［先學(xué)用再啟用〕受用就"等隹的T5EC安全策略也二祈使挖【PSEC功屹，詢/景刁魚生效?菜】百限1京拄2拗疏與貢|10行1①笆IKE澹體一網(wǎng)頁對(duì)話框?qū)Φ润w名稱：（范圍;176個(gè)字用1 成接口：ipsccO▼時(shí)—:9 （ip或域名）也商模式：◎主模式。野金根式安全提議一：IXE▼安全提議二：話送擇▼安全提議三：請(qǐng)送猱▼安全提議四：請(qǐng)送清，攝共享密鑰但SK）：生命周期：123466 ］范國:1~128個(gè)字初28800 秒（范困:60~604800秒，法省值;28800）DPD：DP□周期:?開啟◎美閉一 忸宓圍:?攵物缺省值:10）口PD超時(shí)時(shí)間：回 1秒（范圍:1?300秒,跳省值：30j1修淡〕rwihttp^/10J38.1834:21007/ikcpc;crconfig.dsp?dab@Internet| 啟用配置IPSEC安全提議單擊【VPN】--【VPN設(shè)置】一【IPSec安全提議】，點(diǎn)擊【新增】，配置IPSEC安全提議：安全提議名稱、安全協(xié)議類型、ESP驗(yàn)證算法、ESP加密算法配置如下圖：H3C>系族導(dǎo)編>南故溫拄>auetf>LR&?少安全專區(qū)卜疔農(nóng)\療urn*vw>。“謖2：>安全棍寵安全線迎笛ms越泱后，六奏8行肩用（先琴用再扇用這1用該直至復(fù)議的】PSEU安生芾雷氏氏折便能】PSEU功能，默倒取出.才能生效。.叁1L跖華j"51 關(guān)口手：名稱▼ 克詞Sfr名Ik 安全A波 AH目法 ESPK&Z1bj E5P — 3怩S“㈤5港1百供】？5共1號(hào)記某相市10fi*?L國冷”色I(xiàn)PSe?第議-網(wǎng)頁對(duì)話相白金於位et多用戶3安全提議名稱:IPSEC（范圍:1~31個(gè)字符）安全協(xié)議類型:?AH@ESPOAH+ESPESP質(zhì)證算法:ESP加密算法:SHA1▼3DES▼rwirwi配置IPSEC安全策略單擊【VPN]-[VPN設(shè)置】--【IPSEC安全策略】，勾選啟【用IPSEC功能】，點(diǎn)擊【新增】，配置IPSEC安全策略：本地子網(wǎng)IP即為RouterA內(nèi)網(wǎng)網(wǎng)段，此處配置為192.16810/24,對(duì)端子網(wǎng)IP即為RouterB內(nèi)網(wǎng)網(wǎng)段，此處配置為/24,其余參數(shù)按照下圖所示配置：HBC%無母彳或 安全哀果由戊口 IKE安仝Ue IKEMX體 IPSec喪仝|1喳3仝工口多系收2滋3?ttUeg*3?ttUeg*±M%?外安仝專區(qū)7自用JP乂物能

rwi安全第嘀rQ“餐2f成福口、IKE貨全無似、【匕￡潸寺律枳】PSEC安全錠卡的狀專0慘弟貢慶后,尼悠曼電“自用（先M用再自用1相關(guān)的1P%中全東超一次五至豺使正I2EC功能一次，孰用山皮放愛生迪?8外，松葭rQ“餐2f□HT1I: 關(guān)健字：石卻▼ 田air序￡名稱 狀交 本色子同網(wǎng)4 用制子網(wǎng)網(wǎng)隨 曲展及e we第3天也3天井0條記樂3天5行收”】包*“-網(wǎng)頁對(duì)話雁安全軍爵名稱:是否啟用:本地子網(wǎng)】安全軍爵名稱:是否啟用:本地子網(wǎng)】P/推碼:對(duì)瑞子網(wǎng)】P力5碼:楊麗非以：對(duì)等體:安全提議一:安全拄議二:安全接設(shè)三:安全提議四:PFS：生給周期:觸皮筏式：1P究C （范國：1~L6個(gè)赤）啟用▼ / /2557255.255.0@】KE協(xié)商。手動(dòng)模式ike▼IPSEC▼請(qǐng)選擇▼請(qǐng)選擇▼請(qǐng)選擇▼禁止 ▼28800秒（范圍320~6。4305缺省值28S如）流里觸皮▼［醐I取消］3.2.6配置去往對(duì)端子網(wǎng)的靜態(tài)路由單擊【高級(jí)設(shè)置】--【路由設(shè)置】--【靜態(tài)路由】，目的地址配置成對(duì)端子網(wǎng)，即,子網(wǎng)掩碼為,出接口為ipsecO虛接口。HBC|梅恁備由］工*心由＞核口管理仍態(tài)窗由亮,安全與區(qū)L『I二1MffifflMUL］ 美繾學(xué)ttz? ▼ |一查H［叵—g］量作序罵 目的嬉始 子向凝中 T-MM# 出林口 ?注多vr?Z1 0.00.0 0.00.0 192H3,1.2W 丈助11叁Q^?a/ 2 192.I63,NO VLAN1電叱報(bào)力一山壽|應(yīng)用色＞嗓a管繆場工R共11柒2碇聚石頁10行~制廠】 邑“A＞用演熔好態(tài)路由列表目的地址： 子網(wǎng)掩碼： 255?255?255.。下一跳地址： I _出接口； ipsecO▼描述： （可選」范圍;15個(gè)字符