1、H3C ER 系列路由器 IPSEC VPN 的典型配置ER 系列路由器一端地址是静态 IP,另一端是拨号方式获取 IP 时野蛮模式下的一对一IPSEC VPN 的典型配置一、 组网需求:某公司存在分支机构 A 和分支机构 B,两端的出口路由器都是 ER5200,分别为 Router A 和 Router B,Router A 处为静态 IP,Router B 处为拨号方式获取的 IP。现在客户想在两个分支之间建立 VPN 来实现互通。二、 组网图:三、 配置步骤:当一边的地址都是静态 IP(Router A) ,另外一边是拨号 IP(Router B)时,可采用野蛮模式建立 IPSEC VP
2、N。Router A 设置:(1)设置虚接口:VPNVPN 设置虚接口选择一个虚接口名称和与其相应的 WAN1口绑定,单击按钮。(2)设置 IKE 安全提议VPNVPN 设置 IKE 安全提议输入安全提议名称,并设置验证算法和加密算法分别为 MD5、3DES,单击按钮。(3) 设置 IKE 对等体VPNVPN 设置IKE 对等体输入对等体名称,选择对应的虚接口 ipsec0。在“ 对端地址”文本框中输入 Router B 的 IP 地址为全0,选择野蛮模式的 NAME 类型,分别填写两端的 ID。(4) 设置 IPSec 安全提议VPNVPN 设置 IPSec 安全提议输入安全提议名称,选择安
3、全协议类型为 ESP,并设置验证算法和加密算法分别为MD5、3DES ,单击 按钮。(5)设置 IPSec 安全策略VPNVPN 设置IPSec 安全策略Router B 设置:(1)设置虚接口、 (2)设置 IKE 安全提议、 (4)设置 IPSEC 安全提议、 (5)设置 IPSec安全策略,以上四步的设置与 Router A 对应的步骤设置一致。(3)设置 IKE 对等体VPNVPN 设置IKE 对等体输入对等体名称,选择对应的虚接口 ipsec0。在“ 对端地址”文本框中输入 Router A 的 IP 地址,选择野蛮模式的 NAME 类型,分别填写两端的 ID。(6)路由设置高级设置
4、路由设置静态路由。Router A 端设置:Router B 端设置:四、 配置关键点:1、首先要检查双方的公网链路是否互通,以确保 VPN 链路能正常建立。建立好 VPN 后,作为 VPN 的分支端(Router B)需要向总部(Router A)主动 ping 包来触发 VPN 隧道的建立。但是 ER 系列设备默认都是禁止 ping WAN 口地址的,所以在 ping 包之前需要实施以下步骤:将“WAN 口 Ping 扫描”选项前面的勾去掉并点击应用即可。2、其次,在 VPN 的配置中要注意双方的参数一定要一致:设置 IKE 安全提议时,验证算法和加密算法要一致;设置 IKE 对等体时,域
5、共享密钥、DPD 功能使用要一致;设置 IPSec 安全提议时,安全协议类型、验证算法和加密算法要一致;设置 IPSec 安全策略时, “本地子网 IP/掩码”和“对端子网/IP 掩码”要根据设置端如实填写,注意两端的配置正好相反。3、静态路由配置要注意填写目的地址时,需要填写对端的子网地址,不要填写下一跳地址,直接选 IPSEC 子接口为出接口。4、注意:ER2100做 IPSEC VPN 时,不需要配置静态路由。ER 系列路由器一端地址是静态 IP,另一端是拨号方式获取 IP 时主模式下的一对一IPSEC VPN 的典型配置一、 组网需求:某公司存在分支机构 A 和分支机构 B,两端的出口
6、路由器都是 ER5200,分别为 Router A 和 Router B,Router A 处为静态 IP,Router B 处为拨号方式获取的 IP。现在客户想在两个分支之间建立 VPN 来实现互通。二、 组网图:三、 配置步骤:当一边的地址都是静态 IP(Router A) ,另外一边是拨号方式获取的 IP(Router B)时,可采用主模式下的域名形式来建立 VPN(前提是已经在 www.3322.org 网站申请好域名,分支B 的域名为 rb.3322.org) 。Router A 设置:(1)设置虚接口:VPNVPN 设置虚接口选择一个虚接口名称和与其相应的 WAN1口绑定,单击按钮
7、。(2)设置 IKE 安全提议VPNVPN 设置 IKE 安全提议输入安全提议名称,并设置验证算法和加密算法分别为 MD5、3DES,单击按钮。(3) 设置 IKE 对等体VPNVPN 设置IKE 对等体输入对等体名称,选择对应的虚接口 ipsec0。在“ 对端地址”文本框中输入 Router B 的域名,为 rb.3322.org,选择主模式,并选择已创建的安全提议等信息,单击按钮。(4) 设置 IPSec 安全提议VPNVPN 设置 IPSec 安全提议输入安全提议名称,选择安全协议类型为 ESP,并设置验证算法和加密算法分别为MD5、3DES ,单击 按钮。(5)设置 IPSec 安全策略VPNVPN 设置IPSec 安全策略Router B 设置与 Router A 的设置类似,在设置 IKE 对等体时,需要在“对端地址”这栏填写Router A 的公网 IP 地址。(6)路由设置高级设置路由设置静态路由。Router A 端设置:
