习美教育网

华为防火墙IPsecVPN配置命令是什么？急啊。。。

gre配置华为你可以去H3C官方网站gre配置华为的服务支持-文档中心-查找路由器的文档。

这种命令行配置的路由器建立ipsec

vpn

关键点很多。没有这块基础的普通用户很难自己搞定。

建议找代理商解决。

另外从网上找了点资料，你看看有没有用。

给你个ipsec

over

gre

的脚本，自己研究下

ike

peer

center

/配置到中心的ike

peer/

exchange-mode

aggressive

/设置IPSec为野蛮方式/

pre-shared-key

abc

/预共享密钥为abc/

id-type

name

/选择名字作为ike协商过程中使用的ID/

remote-name

center

/对端的名字为center/

remote-address

10.0.0.1

/对端的地址为10.0.0.1（中心的tunnel地址）/

#

ipsec

proposal

1

/定义ipsec

proposal/

#

ipsec

policy

branch1

10

isakmp

/配置到中心的ipsec

policy/

security

acl

3001

/指定安全策略所引用的访问控制列表号/

ike-peer

center

/引用ike

peer/

proposal

1

/引用ipsec

proposal/

#

acl

number

3001

/定义从分部1到中心的内网数据流/

rule

permit

ip

source

192.168.2.0

0.0.0.255

destination

192.168.1.0

0.0.0.255

#

interface

Serial2/0

link-protocol

ppp

ip

address

202.101.2.2

255.255.255.252

#

interface

Tunnel0

/配置分部1和中心之间的GRE

tunnel/

ip

address

10.0.0.2

255.255.255.252

source

202.101.2.2

destination

202.101.1.2

ipsec

policy

branch1

/在tunnel

0上应用IPSec

policy

branch1/

#

思科2600配置GRE

一、多点GRE配置（mGRE),结合NHRP（下一跳地址解析协议）使用

1.中心站点配置：

1）建立tunnel口及相关配置

inter tunnel 0

tunnel source e1/0(指定公网的外出接口作为隧道源地址）

tunnel mode gre multipoint(指定隧道的类型为多点GRE）

tunnel key 验证密码（为数字，双方必须匹配，验证为可选项）

2）NHRP协议的配置

R1(config-if)#ip nhrp map multicast（支持组播及广播） dynamic （客户端地址采用动态解析）

R1(config-if)#ip nhrp network-id 100（指定网络ID，相同ID在同一广播域，要求所有站点ID相同）

2.分支站点配置：

1）建立tunnel口及相关配置

inter tunnel 0

tunnel source e1/0(指定公网的外出接口作为隧道源地址）

tunnel mode gre multipoint(指定隧道的类型为多点GRE,在本模式下，分支站点也可建立动态隧道）

###(如建立全互联tunnel隧道,可指定为mGRE( 多点隧道接口),否则可以直接指定目的为HUB地址tunnel destination 202.1.1.2)

tunnel key 验证密码（为数字，双方必须匹配，验证为可选项）

2）NHRP协议的配置

ip nhrp nhs 192.168.1.1 （指定NHRP服务器地址，通常为中心站点tunnel接口私网地址）

ip nhrp map 192.168.1.1（本地址为中心站点隧道接口的私网地址） 201.1.1.1

（为中心站点公网接口地址）

ip nhrp network-id 100（指定网络ID，相同ID在同一广播域，要求所有站点ID相同）

可选项：NHRP验证：ip nhrp authentication test （验证密码）

3.关于动态路由协议在多点GRE NBMA模式下配置

在分支站点还必须做如下配置

1)ip nhrp map multicast 201.1.1.1 (中心站点公网地址)

使得多点GRE接口能够向中心站点发送组播和广播包

(ospf网络类型改成broadcast或point-to-multipoint)

2)距离矢量类路由协议必须关闭水平分割（因为是点到多点接口）

no ip split-horizon

no ip split-horizon eigrp 1

二、ipsec配置

1、第一阶段

crypto isakmp policy 1

encr 3des

hash md5

authentication pre-share

group 2

crypto isakmp key g2myway(验证密码）address 0.0.0.0 0.0.0.0

（对所有地址验证全匹配）

2、第二阶段

crypto ipsec transform-set r1trans esp-3des esp-sha-hmac

转换集的配置

3、ipsec profile的配置（没有定义对等体及感兴趣流量）

crypto ipsec profile myprofile(profile命名）

set transform-set r1trans

4、应用至tunnel接口

tunnel protection ipsec profile myprofile（profile命名）

对所有tunnel的流量进行ipsec的保护

华为HCIA数通路由交换认证大纲及内容---网络技术入门必读

一、HCIA-Routing Switching认证 定位于中小型网络的基本配置和维护。

华为H12-211 HCIA-Routing Switching V2.5认证考试-目前考试版本为V2.5

考试内容：

HCIA-Routing Switching考试覆盖路由交换(数通)基础知识，TCP/IP协议栈基础知识， PPP等广域网协议基本原理以及在华为路由器中的实现，以太网技术、STP、VLAN原理以及在华为交换机中的实现，OSPF路由协议基本原理以及在华为路由器中的实现，网络安全技术以及华为路由交换设备中的实现，SNMP等网络管理的基本原理，IPv6的基础知识以及OSPFv3、DHCPv6协议基本原理和实现，MPLS、SR基本原理。

二、HCIA考试的知识点

1、考察IP网络基础以下几个方面：

1). 路由交换（数通）基础知识

2). 网络基本概念、IP网络构架、标准化组织与协议

3). OSI、TCP/IP协议模1结构、各个层次的功能以及报文封装

4). IPv4子网划分

5). ARP原理

6). TCP/UDP原理

7). 数据转发过程

8). 常用应用层协议FTP、DHCP的工作原理

9). Ping，Tracert，Telnet等常用工具原理与应用

2 、局域网技术

1). 以太网技术、交换机基本原理

2). STP、RSTP、VLAN基本原理以及在VRP中的实现

3). 如何使用STP、RSTP、VLAN等技术以及如何使用华为交换机构建小型交换网络

3 、广域网技术

1). HDLC、PPP等在VRP中的实现

4、路由技术

1). 静态路由协议原理、OSPF协议基本原理以及在VRP中的实现

2). 如何使用静态、OSPF等技术以及如何使用华为路由器构建小型路由网络

5、网络安全

1). AAA工作原理

2). ACL原理以及在华为路由设备中的配置

3). IPSec VPN、GRE工作原理以及在华为路由设备中的配置

4). 如何利用网络安全技术保证网络安全性

6、产品知识

1). VRP特点、VRP基本操作与维护

2). 华为路由器、交换机产品特点以及在IP网络中的应用

7、网络管理

1). SNMP原理与配置

2). eSight基础知识以及简单应用

8、IPv6技术

1). IPv6基础

2). OSPFv3协议原理以及在华为路由设备中的配置

3). DHCPv6协议原理以及在IP网络中的应用

9、MPLS和Segment Routing基础

1). MPLS基本原理

2). Segment Routing基本原理

网络：是一组通信设备的集合，通过传输介质进行连接。

物理组成部分：

1、路由器 Router

2、交换机 Switch

终端设备：PC 台式机 laptop 笔记本 平板 手机

打印机 摄像机 IP电话

传输介质：双绞线 光纤 无线 蓝牙 同轴电缆

网络特征：

1、拓扑 2、速度 3、开销 4、安全性 5、可用性 6、扩展性 7、可靠性

欢迎关注和转发，更多精彩内容下期继续分享!

在gre配置环境下

1、创建虚拟链路（隧道）接口gre配置华为，号码任意，两端可不相同。

2、配置虚拟链路（隧道）接口地址，该地址是在GRE包头中被封装gre配置华为的地址。

3、定义虚拟链路（隧道）的源和目的，该地址就是在公网中指导路由器转发数据包的可路由公网IP，也是建立隧道两端路由器的真实公网IP。

如何在两台H3C Quidway ar28-31路由器上配置GRE VPN?

先期条件。两端都需要是公网固定ip地址。

路由器1

#

interface Tunnel1

ip address 10.0.0.1 255.255.255.0

source 222.33.22.1 //此地址为本地路由外网接口ip地址

destination 222.33.214.1 //此地址为对方路由器外网ip地址

#

ip route-static 192.168.2.0 255.255.255.0 Tunnel1 将去往对方192.168.2.0网段的数据指向到T1接口上。

路由器2

#

interface Tunnel1

ip address 10.0.0.2 255.255.255.0

source 222.33.214.1 //此地址为本地路由外网接口ip地址

destination 222.33.22.1 //此地址为对方路由器外网ip地址

#

ip route-static 192.168.1.0 255.255.255.0 Tunnel1 将去往对方192.168.1.0网段的数据指向到T1接口上。

很简单的。Tunnel 口的源地址和目的地址互为指向，并指定一个ip地址。

在做互为指向的内网数据流就可以了

联系我们请扫一扫上面二维码