H3C ER 系列路由器IPSEC V PN 的典型配置 ER 系列路由器一端地址是静态IP,另一端是拨号方式获取IP 时野蛮模式下的一对一IPSEC VPN 的典型配置 一、 组网需求: 某公司存在分支机构A 和分支机构B,两端的出口路由器都是ER5200,分别为Rou ter A和Rou ter B,Rou ter A 处为静态IP,Rou ter B 处为拨号方式获取的IP。现在客户想在两个分支之间建立VPN 来实现互通。 二、 组网图: 三、 配置步骤: 当一边的地址都是静态IP(Rou ter A),另外一边是拨号IP(Rou ter B)时,可采用野蛮模式建立IPSEC VPN。 Rou ter A 设置: (1)设置虚接口: VPN→VPN 设置→虚接口 选择一个虚接口名称和与其相应的WAN1口绑定,单击<增加>按钮。 (2)设置IKE 安全提议 VPN→VPN 设置→IKE 安全提议 输入安全提议名称,并设置验证算法和加密算法分别为MD5、3DES,单击<增加>按钮。 (3) 设置IKE 对等体 VPN→VPN 设置→IKE 对等体 输入对等体名称,选择对应的虚接口 ipsec0。在“对端地址”文本框中输入Rou ter B 的 IP 地址为全0,选择野蛮模式的 NAME 类型,分别填写两端的 ID。 (4) 设置IPSec 安全提议 VPN→ VPN 设置→ IPSec 安全提议 输入安全提议名称,选择安全协议类型为ESP,并设置验证算法和加密算法分别为MD5、3DES,单击<增加>按钮。 (5)设置IPSec 安全策略 VPN→VPN 设置→IPSec 安全策略 Rou ter B 设置: (1)设置虚接口、(2)设置 IKE 安全提议、(4)设置 IPSEC 安全提议、(5)设置 IPSec 安全策略,以上四步的设置与 Rou ter A 对应的步骤设置一致。 (3)设置 IKE 对等体 VPN→VPN 设置→IKE 对等体 输入对等体名称,选择对应的虚接口 ipsec0。在“对端地址”文本框中输入 Rou ter A 的 IP 地址,选择野蛮模式的 NAME 类型,分别填写两端的 ID。 (6)路由设置 高级设置→路由设置→静态路由。 Rou ter A 端设置: Rou ter B 端设置: 四、 配置关键点: 1、首先要检查双方的公网链路是否互通,以确保V PN 链路能正常建立。建立好VPN 后,作为VPN 的分支端(Router B)需要向总部(Router A)主动ping 包来触发VPN 隧道的建立。但是ER 系列设备默认都是禁止ping WAN 口地址的,所以在ping 包之前需要实施以下步骤:将“WAN 口Ping 扫描”选项前面的勾去掉并点击应用即可。 2、其次,在VPN 的配置...
