前幾天,有人私信我如何用命令行配置IPSEC,今天我們就來說一下如何通過命令行進行配置,首先我們要準備一條console線和一條USB轉COM線。
一、如何打開超級終端
1.把帶有USB的一端插座筆記本上面,先使用驅動精靈(或驅動人生)直接的把usb轉console調試線驅動打上去
2.查看usb轉console調試線的驅動安裝情況
3.也可以點擊電腦的右下角,查看usb轉console調試線是否已經安裝好
4.如何修改usb轉console調試線的COM接口
就在此處修改即可
5.下面使用usb轉console調試線連接路由交換設備一端連接在你的電腦的USB接口上面
另一端連接在三層交換機的console上面
6.安裝好超級終端工具,並安裝下面的要求,9600,8,無,1來設置,當一切都配置好後,點擊“連接”
上面的連接完成後,直接的回車就會出現調試的界面,如果有設置本地的安裝登錄的話,你需要輸入本地的帳號和密碼,不然是登錄不上去的,如果本地路由器配置了密碼,那麼一定要管理好密碼,如果密碼忘記了的話是一件非常麻煩的事情,需要恢復到默認的出廠設置,但是為了安裝考慮,一般是需要配置的,到此如何打開調試模式介紹完畢。
二、如何命令調試IPsec
IPSEC VPN
工作方式:傳輸、隧道。
安全協議:AH、ESP、AH+ESP。
工作模式:主模式、野蠻模式。
主模式:公網鏈路兩端,都需要配置固定IP地址。驗證複雜,安全性高。
野蠻模式:一端IP地址固定,另一端IP地址可以由服務器隨機下發。安全性差。
主模式配置方式
創建IPSEC 安全提議
[H3C]ipsec transform-set 1
選擇工作方式
[H3C-ipsec-transform-set-1]encapsulation-mode tunnel ( 默認為隧道模式 )
選擇安全協議
[H3C-ipsec-transform-set-1]protocol esp (默認為ESP加密認證方式)
採用哪種方式進行加密
[H3C-ipsec-transform-set-1]esp authentication-algorithm md5 (需要手工配置)
[H3C-ipsec-transform-set-1]esp encryption-algorithm des-cbc (加密為DES,驗證為md5)
創建IKE的域共享秘鑰KEYCHAIN
[H3C]ike keychain 1
[H3C-ike-keychain-1]pre-shared-key address 30.1.1.2 key simple 123
創建IKE模板、生成IKE sa
[H3C-ike-profile-1]keychain 1 (綁定IKE的域共享秘鑰)
[H3C-ike-profile-1]exchange-mode main (工作模式默認為主模式)
[H3C-ike-profile-1]local-identity address 20.1.1.1 (本地域名)
[H3C-ike-profile-1]match remote identity address 30.1.1.2 (對端域名)
配置ACL 對需要封裝的數據進行抓取
[H3C]acl advanced 3000
[H3C-acl-ipv4-adv-3000]rule 0 permit ip source 192.168.1.1 0 d 192.168.2.1 0
創建IPSEC 策略模板,綁定ACL ,IKE 模板,安全提議。
[H3C]ipsec policy 1 10 isakmp (序列號10 、自動生成ipsec sa)
[H3C-ipsec-policy-isakmp-1-10]security acl 3000
[H3C-ipsec-policy-isakmp-1-10]ike-profile 1
[H3C-ipsec-policy-isakmp-1-10]transform-set 1
[H3C-ipsec-policy-isakmp-1-10]remote-address 30.1.1.2 (綁定,聲明尋址的對端地址)
創建好的IPSEC 模板,應用在端口。
[H3C]int g0/0
[H3C-GigabitEthernet0/0]ipsec apply policy 1
對私網地址進行引流封裝
[H3C]ip route-static 192.168.2.1 32 20.1.1.2
公網可通
[H3C]ip route-static 30.1.1.0 24 20.1.1.2
靜態可以合併為
[H3C]ip route-static 0.0.0.0 0 20.1.1.2
ping 包 第一個不通, 進行IKE 協商。
野蠻模式配置方式
IP地址不固定端
[H3C]int g0/0
[H3C-GigabitEthernet0/0]ip address dhcp-alloc
[H3C-GigabitEthernet0/0]int lo0
[H3C-LoopBack0]ip a 192.168.1.1 32
修改設備域名
[H3C]ike identity fqdn xxx
創建安全提議
[H3C]ipsec transform-set 1
[H3C-ipsec-transform-set-1]esp authentication-algorithm md5
[H3C-ipsec-transform-set-1]esp encryption-algorithm des-cbc
創建域共享秘鑰
[H3C]ike keychain 1
[H3C-ike-keychain-1]pre-shared-key address 30.1.1.2 key simple 123
(對端IP如果固定,則必須添加對端的地址)
創建IKE 模板,並選擇工作模式為野蠻模式
[H3C]ike profile 1
[H3C-ike-profile-1]keychain 1
[H3C-ike-profile-1]exchange-mode aggressive
[H3C-ike-profile-1]match remote identity fqdn ccc
[H3C-ike-profile-1]local-identity fqdn xxx
ACL抓取規則
[H3C]acl advanced 3000
[H3C-acl-ipv4-adv-3000]rule 0 p ip source 192.168.1.1 0 d 192.168.2.1 0
創建IPSEC 模板,綁定。
[H3C]ipsec policy 1 10 isakmp
[H3C-ipsec-policy-isakmp-1-10]security acl 3000
[H3C-ipsec-policy-isakmp-1-10]transform-set 1
[H3C-ipsec-policy-isakmp-1-10]ike-profile 1
[H3C-ipsec-policy-isakmp-1-10]remote-address 30.1.1.2
在接口下使用IPSEC 策略模板
[H3C]int g0/0
[H3C-GigabitEthernet0/0]ipsec apply policy 1
[H3C]ip route-static 0.0.0.0 0 20.1.1.2
IP 地址固定端。
[H3C]int g0/0
[H3C-GigabitEthernet0/0]ip a 30.1.1.2 24
[H3C-GigabitEthernet0/0]int lo0
[H3C-LoopBack0]ip a 192.168.2.1 32
[H3C]ike identity fqdn ccc
創建安全提議模板
[H3C]ipsec transform-set 1
[H3C-ipsec-transform-set-1]esp encryption-algorithm des-cbc
[H3C-ipsec-transform-set-1]esp authentication-algorithm md5
域共享秘鑰
[H3C]ike keychain 1
[H3C-ike-keychain-1]pre-shared-key hostname xxx key simple 123
IKE 模板
[H3C]ike profile 1
[H3C-ike-profile-1]keychain 1
[H3C-ike-profile-1]match remote identity fqdn xxx
[H3C-ike-profile-1]exchange-mode aggressive
創建IPSEC 策略模板。模板不綁定ACL ,對端IP 地址不固定,不能主動發起鏈接,在發起連接後可直接根據已生成的IPSEC VPN 傳遞數據,且對應多個設備,若配置ACL ,配置複雜,添加的數據多,一般模板用於總公司,IP 地址固定的一端。
模板綁定的只有安全提議和IKE ,不添加對端IP 地址,因為對端設備IP地址不固定。
若添加端對設備的域名,則不能通信,因為域名非IP地址。
[H3C]ipsec policy-template 1 10
[H3C-ipsec-policy-template-1-10]transform-set 1
[H3C-ipsec-policy-template-1-10]ike-profile 1
[H3C]ipsec policy 1 10 isakmp template 1
[H3C-GigabitEthernet0/0]ipsec apply policy 1
[H3C]ip route-static 0.0.0.0 0 30.1.1.1
閱讀更多 種花家的老兔子 的文章
