登录注册

H3C_SMB_Router_IPSec_VPN配置指导(V1.02)-整本手册.pdf

H3C_SMB_Router_IPSec_VPN配置指导(V1.02)-整本手册.pdf
H3C SMB Router IPSec VPN 配置指导文档总结: 该文档主要针对H3C SMB Router产品上的IPSec VPN功能进行配置指导,旨在帮助用户进行组网配置。 **一、基本概念** * **IKE、IPSec、VPN、NAT、DPD、Hub & Spoke:**文档涉及的关键技术和缩略语。 * **IPSec 安全联盟(SA):**IPSec的基础,定义了通信对等体间的约定,如协议、加密算法等。SA是单向的,双向通信需要两个SA。 * **封装模式:**传输模式和隧道模式,推荐隧道模式。 * **验证算法:**AH和ESP能够验证IP报文的完整性,常用的有MD5和SHA-1。 * **加密算法:**ESP对IP报文内容进行加密,常用的有DES、3DES、AES。 * **协商方式:**手动方式和IKE协商方式。 * **IKE DPD(Dead Peer Detection):**检测对端状态,提高VPN健壮性。 **二、IPSec 配置流程** 1. **配置IPSec虚接口:**创建用于IPSec的逻辑接口。 2. **定义IPSec安全提议:**创建安全提议,包含安全协议(AH、ESP等)和算法。 3. **创建IPSec安全策略:** * **手动方式:**配置IPSec安全策略,包括引用安全提议、定义访问控制列表、配置隧道对端地址、安全联盟的SPI、密钥等。 * **IKE方式:**定义IKE安全提议、对等体,引用安全提议。 4. **配置路由:**配置静态路由,将数据流导向IPSec虚接口。 **三、典型配置案例** * **一对一IPSec VPN:**适用于小型分支机构,总部网关采用静态IP配置。 * **Hub & Spoke VPN:**适用于星型网络,Hub作为中心,Spoke与Hub协商建立隧道。 * **WINXP的IPSec VPN:**介绍在WINXP上配置IPSec Client,与SMB Router对接建立VPN。 **四、配置注意事项** * **NAT 设备:**如果VPN两端存在NAT设备,需要使用IKE野蛮模式,并且只能使用ESP安全协议。LAN侧的SA周期小于WAN侧的SA周期。 * **双WAN手动均衡:**IPSec接口绑定在非默认链路接口,需要为VPN对端网关地址添加静态路由或均衡路由。 * **策略路由:**策略路由的设计是为了满足对从LAN到WAN方向报文的精确匹配转发,需要在隧道对端配置静态路由。 **五、常见问题及解决方法** * **VPN隧道数据不通:**检查接口、路由、防火墙、SA配置、以及是否开启了DPD等。 * **VPN组网中存在NAT设备:**需注意配置IKE野蛮模式、ESP安全协议、以及SA周期等问题。 * **双WAN手动均衡时的路由问题:**需要配置静态路由或均衡路由。 * **策略路由问题:**需要配置静态路由。 * **问题处理方法:**多次检查配置、重启路由器和电脑等。
在线阅读 下载完整报告 | 937.57 KB | 47页
阅读和下载会消耗积分;登录、注册、邀请好友、上传报告可获取积分。
成为VIP会员可免费阅读和下载报告