Interconnection between QNO QVM2050 and H3C MSR20x

来自Qno Wiki
Lydia讨论 | 贡献2012年2月6日 (一) 15:54的版本 (以内容“__TOC__<br> <br> == Main Mode 网关对网关两端使用固定IP方式<br><br> == === 拓扑图<br> === &nbsp;&nbsp;&nbsp...”创建新页面)
(差异) ←上一版本 | 最后版本 (差异) | 下一版本→ (差异)
跳转至: 导航搜索
<br>

<br>

Main Mode 网关对网关两端使用固定IP方式<br><br>

拓扑图<br>

&nbsp;&nbsp;&nbsp;&nbsp; VPN G2GIPSec 2050-2020hl 21.jpg<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <br>

设定步骤<br><br>

1. 确定 QVM2050 WAN IP 以及内网网段,如 192.168.111.0/24;<br>2. 确定对端使用的公网 IP 以及内网网段,如 192.168.20.0/24,两段网段不能相同;<br>3. 正常 VPN 需要 UDP500/4500 端口,以及防火墙以允许 ESP 通过;<br>4. 分别设定 QVM2050 和 MSR20x<br>QVM2050: 管理介面里的 VPN 选项,中文为 VPN虚拟私有网路<br>MSR20xx: VPN -&gt; IPsec VPN

如果发生无法连上,请提供两端的日志:<br>QVM2050: Log -&gt; View System Log (另存文本文件给我们)<br>MSR20xx: Other -&gt; Log<br>

<br>QVM2050端的设定<br>

<br>

VPN G2GIPSec 2050-2020hl 22.jpg<br>

【1】:在 [Tunnel(s)Name] 为此隧道命名。<br>

【2】:在[interface]选择WAN口位置。<br>

【3】:QVM2050会根据接口位置自动将这里填好,一般默认即可。<br>

【4】:填入MSR20x 的公网IP地址。<br>

【5】:填入MSR20x 的内网网段。此处如果设定不对,VPN连通有可能无法 ping。<br>

<br>VPN G2GIPSec 2050-2020hl 23.jpg<br>

【1】:第一阶段IKE加密设置,请与QVM2050的IKE保持一致。<br>

【2】:第二阶段加密设置,请与MSR20保持一致。<br>

【3】:无需改动,设置完成后按Apply。<br>

<br>VPN G2GIPSec 2050-2020hl 24.jpg<br>

【1】:修改隧道设定。<br>

【2】:删除隧道。<br>

<br>

MSR2020端的设定<br>

<br>VPN G2GIPSec 2050-2020hl 25.jpg<br>

【1】:为此隧道命名,方便维护。<br>

【2】:选择公网接口位置,对应Interface Setup的设定。<br>

【3】:选择此设定让设备跟设备互通。<br>

【4】:填入QVM2050广域网IP地址。<br>

【5】:填入本地广域网地址。<br>

【6】:填入共享密钥,跟QVM2050对应。<br>

【7】:此处无需改动。<br>

【8】:选择由远程设备决定保护区段。<br><br>VPN G2GIPSec 2050-2020hl 26.jpg<br>

【1】:在[Exchange Mode]选择Main Mode。<br>

【2】:第一阶段IKE加密设置,请与QVM2050的IKE保持一致。<br>

【3】:第二阶段加密设置,请与MSR20保持一致。<br>

【4】:设置完成后按Apply。<br>

<br>

VPN G2GIPSec 2050-2020hl 27.jpg<br>

【1】:已经设定好的隧道。<br>

【2】:修改隧道设定。<br>

【3】:删除隧道。<br>

<br>

VPN G2GIPSec 2050-2020hl 28.jpg<br>

【1】:点这里看隧道的状态信息,注意要勾 Tunnel。<br><br>

要点

<br>1. 要选择 site to site 即对应 QVM2050 是 Gateway to Gateway 方式;<br>2. 接口位置通常是 Ethernet0/1,需要对应下面的 Local Gateway Address,如果不确定需要在 Interface Setup 里确定;<br>3. 在 Selector 里不需要指定网段,直接选择“Designated by Remote Gateway”;<br>4. Gateway ID 以默认的 IP address,<br>5. Phase 1 选择 main mode,加密为 SHA1/DES/G1,SA lifetime 以默认值即可;<br>6. Phase 2 选择 ESP/MD5/3DES,以 Tunnel 方式,取消 PFS,rekey 时间以默认的 3600。<br><br>

Aggressive Mode 网关对网关分点无固定IP方式<br><br>

拓扑图<br>

<br>VPN G2GIPSec 2050-2020hl 19.jpg<br>

设定步骤

<br>1. 确定 QVM2050 WAN IP 以及内网网段,如 192.168.2.0/24;<br>2. 确定对端使用的公网 IP 以及内网网段,如 192.168.25.0/24,两段网段不能相同;<br>3. 正常 VPN 需要 UDP500/4500 端口,以及防火墙以允许 ESP 通过;<br>4. 分别设定 QVM2050 和 MSR20x<br>QVM2050: 管理介面里的 VPN 选项,中文为 VPN虚拟私有网路,新增网关到网关 VPN<br>MSR20xx: VPN -&gt; IPsec VPN,点 ADD (新建)

如果发生无法连上,请提供两端的日志:<br>QVM2050: Log -&gt; View System Log (另存文本文件给我们)<br>MSR20xx: Other -&gt; Log<br>

<br>

QVM2050端的设定<br><br>

VPN G2GIPSec 2050-2020hl 29.jpg<br>

【1】:在 [Tunnel(s)Name] 为此隧道命名。

【2】:在[interface]选择WAN口位置。

【3】:QVM2050会根据接口位置自动将这里填好,一般默认即可。

【4】:MSR20x的身份使用FQDN方式。<br>

【5】:填入MSR20x的内网网段。此处如果设定不对,VPN连通有可能无法 ping。

<br>

VPN G2GIPSec 2050-2020hl 30.jpg<br>

【1】:第一阶段IKE加密设置,请与QVM2050的IKE保持一致。

【2】:第二阶段加密设置,请与MSR20保持一致。

【3】:无需改动,设置完成后按Apply。<br>

<br>

VPN G2GIPSec 2050-2020hl 31.jpg<br>

【1】:修改隧道设定。<br>

【2】:删除隧道。<br>

<br>

<br>

MSR2020端的设定<br>

VPN G2GIPSec 2050-2020hl 32.jpg<br>

【1】:为此隧道命名,方便维护。

【2】:选择公网接口位置,对应Interface Setup的设定。<br>

【3】:填入QVM2050广域网IP地址。<br>

【4】:填入共享密钥,跟QVM2050对应。

【5】:此处无需改动。

【6】:选择网关名称填入MSR20 FQDN<br>【7】:MSR20x 的内网网段。<br>

【8】:QVM2050 的内网网段。<br>

<br>

VPN G2GIPSec 2050-2020hl 33.jpg<br>

【1】:在[Exchange Mode]选择Aggressive Mode。

【2】:第一阶段IKE加密设置,请与QVM2050的IKE保持一致。

【3】:第二阶段加密设置,请与MSR20保持一致。

【4】:设置完成后按Apply。<br><br>

VPN G2GIPSec 2050-2020hl 34.jpg<br>

【1】:已经设定好的隧道。

【2】:修改隧道设定。

【3】:删除隧道。<br>

<br>

VPN G2GIPSec 2050-2020hl 35.jpg<br>

【1】:点这里看隧道的状态信息,注意要勾 Tunnel。<br>

<br>

要点

<br>1. 要选择 site to site 即对应 QVM2050 是 Gateway to Gateway 方式;<br>2. MSR2020 接口位置通常是 Ethernet0/1,而 Local Gateway Address 需要留空不填,如果不确定需要在 Interface Setup 里确定;<br>3. 在 Selector 里需要指定网段,MSR2020没有主动连接按钮,这里填错 VPN 会无法连通,选择“Characteristics of Taraffic”输入两端的网段,注意掩码是0.0.0.255(而不是255.255.255.0);<br>4. Gateway ID 选择 Gateway Name 并在 Local Gateway ID 输入设定在 QVM2050 里的 FQDN;<br>5. Phase 1 选择 Aggressive Mode,加密为 SHA1/DES/G1,SA lifetime 以默认值即可;<br>6. Phase 2 选择 ESP/MD5/3DES,以 Tunnel 方式,取消 PFS,rekey 时间以默认的 3600;<br>7. 设定之后,QVM2050 会等待连接的状态,而 MSR2020 需要在内网用电脑 ping QVM2050 的内网IP方式去触发连接。

<br>

<br><br>