接上一篇通過內網ROS軟路由與天翼雲實現內網互通,本次通過內網硬件路由器H3C的ICG5000實現與天翼雲的內網互通,由於天翼雲網站上已經有華爲與思科設備的對接方案,沒有提供H3C的對接方案,如果各位有H3C的路由器防火牆需要通過IPSEC與天翼雲的內網互通可以參考該方案。
一、組網示意圖
組網情況是內網出口路由器ICG5000配置公網地址1.1.1.1,內網IP10.37.0.252,內網網段爲10.37.0.0/16,雲側虛擬專網本端IP地址2.2.2.2,雲側內網IP網段爲192.168.0.0/24,實現虛擬專網雲專線效果,直接通過雙方的內網IP地址高速互通。
二、H3C側配置步驟
1、配置ACL 3101,定義要保護由子網10.37.0.0/16去子網192.168.0.0/24的數據流。
acl advanced 3101
rule 0 permit ip source 10.37.0.0 0.0.255.255 destination 192.168.0.0 0.0.0.255
2、 創建IPsec安全提議ctyun
ipsec transform-set ctyun
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
pfs dh-group5
3、創建IKE keychain
ike keychain ctyun
pre-shared-key address 2.2.2.2 255.255.255.255 key cipher password
4、創建ike提案
ike proposal 65534
encryption-algorithm aes-cbc-128
dh group5
sa duration 3600
5、創建IKE profile
ike profile ctyun
keychain ctyun
local-identity address 1.1.1.1
match remote identity address 2.2.2.2 255.255.255.255
proposal 65534
6、創建一條IKE協商方式的IPsec安全策略
ipsec policy ctyun 65534 isakmp
transform-set ctyun
security acl 3101
remote-address 2.2.2.2
ike-profile ctyun
sa duration time-based 3600
sa duration traffic-based 1843200
7、在互聯網接口上應用ipsec策略
ipsec apply policy ctyun
需要注意的是該接口不能用於nat,否則IPSEC通道建立後兩邊無法通信。
8、新增一條去往天翼雲192.168.0.0/24的靜態路由
ip route-static 192.168.0.0 24 1.1.1.2
三、天翼雲側配置不在細訴,請參考上兩篇文章
四、路由器連通性測試
1、多地址路由器一定要使用10.37的地址做源地址測試
2、跟蹤路由
五、內網連通性測試及速率測試
1、從局域網主機發起對天翼雲的測速
iperf3 -c 192.168.0.144