H3CS9500交换机IPSec功能的配置.doc

《H3CS9500交换机IPSec功能的配置.doc》由会员分享，可在线阅读，更多相关《H3CS9500交换机IPSec功能的配置.doc（3页珍藏版）》请在三一办公上搜索。

1、H3C S9500交换机IPSec功能的配置一、组网需求：在网络中，当发送方和接收方都对数据的安全性和完整性有较高的要求时使用。通过将需要发送的流量转到IPSec板进行相应的处理来实现。二、组网图：IPSec组网组网图以上组网图中Vlan 76和Vlan 77之间的私网报文通过S9505上所连接的IPSEC单板的加密处理实现了安全通信三、配置步骤：软件版本：S9500交换机R1327版本及以后的升级版本硬件版本：需要S9500 LSB1IPSEC8DB0单板按照上面的组网图，要实现PC_A和PC_B之间进行互相访问时采用IPSec协议族对其数据进行加密，需要对网络进行如下配置：1S9505_1

2、设备上的配置过程# 配置VLAN，并将连接PC的接口以及S9505之间互连的接口加入到各自的VLAN当中S9505_1 vlan 50S9505_1-vlan50 port Ethernet 2/1/1S9505_1-vlan50 quitS9505_1 vlan 77S9505_1-vlan77 port Ethernet 2/1/2S9505_1-vlan77 quit# 配置SecBlade的Module，并将vlan 50和vlan 77配置为security-vlan，同时将配置好的module和插入的IPSec单板关联起来S9505_1 secblade module testS9

3、505_1-secblade-test security-vlan 50S9505_1-secblade-test security-vlan 77S9505_1-secblade-test map to slot 32S9505_1设备上的SecBlade的配置过程# 配置接口IP地址SecBlade_VPN interface GigabitEthernet 0/0.50SecBlade_VPN-GigabitEthernet0/0 ip address 172.16.50.2 24SecBlade_VPN-GigabitEthernet0/0 vlan-type dot1q vid 50

4、SecBlade_VPN-GigabitEthernet0/0 quitSecBlade_VPN interface GigabitEthernet 0/0.77SecBlade_VPN -GigabitEthernet0/0 ip address 10.13.77.2 24SecBlade_VPN -GigabitEthernet0/0 vlan-type dot1q vid 77SecBlade_VPN -GigabitEthernet0/0 quit# 配置ACL规则SecBlade_VPN acl number 3000SecBlade_VPN -acl-adv-3000 rule p

5、ermit ip source 10.13.77.0 0.0.0.255 destination 10.13.76.0 0.0.0.255 SecBlade_VPN -acl-adv-3000 quit# 配置IPSec IKESecBlade_VPN ike peer peerSecBlade_VPN-ike-peer-peer pre-shared-key vpnSecBlade_VPN-ike-peer-peer remote-address 172.16.50.1SecBlade_VPN quit# 配置IPSec提议SecBlade_VPN Router ipsec proposal

6、 h3cSecBlade_VPN Router-ipsec-proposal-tran encapsulation-mode tunnelSecBlade_VPN Router-ipsec-proposal-tran transform ah-espSecBlade_VPN Router-ipsec-proposal-tran ah authentication-algorithm sha1SecBlade_VPN Router-ipsec-proposal-tran esp encryption-algorithm 3desSecBlade_VPN Router-ipsec-proposal

7、-tran esp authentication-algorithm sha1# 配置IPSEC策略SecBlade_VPN ipsec policy h3cpolicy 10 isakmpSecBlade_VPN-ipsec-policy-isakmp-h3cpolicy-10 ike-peer peerSecBlade_VPN-ipsec-policy-isakmp-h3cpolicy-10 proposal h3cSecBlade_VPN-ipsec-policy-isakmp-h3cpolicy-10 security acl 3000SecBlade_VPN-ipsec-policy

8、-isakmp-h3cpolicy-10 quit# 在外网子接口上应用安全策略SecBlade_VPN interface GigabitEthernet 0/0.50SecBlade_VPN-GigabitEthernet0/0.50 ipsec policy h3cpolicySecBlade_VPN-GigabitEthernet0/0.50 quit# 配置静态路由SecBlade_VPN ip route-static 10.13.76.0 255.255.255.0 172.16.50.13S9505_2设备上的配置过程该设备的配置过程同S9505_1设备上的配置过程4S9505_2设备上的SecBlade的配置过程该设备的配置过程同S9505_1设备上的SecBlade的配置过程四、配置关键点：1. 配置IPSec功能业务需要S9500 IPSEC单板支持。