天翼云应用实操-H3C路由器ICG5000通过IPSEC与天翼云实现混合云组网

    接上一篇通过内网ROS软路由与天翼云实现内网互通，本次通过内网硬件路由器H3C的ICG5000实现与天翼云的内网互通，由于天翼云网站上已经有华为与思科设备的对接方案，没有提供H3C的对接方案，如果各位有H3C的路由器防火墙需要通过IPSEC与天翼云的内网互通可以参考该方案。

一、组网示意图

     组网情况是内网出口路由器ICG5000配置公网地址1.1.1.1，内网IP10.37.0.252，内网网段为10.37.0.0/16，云侧虚拟专网本端IP地址2.2.2.2，云侧内网IP网段为192.168.0.0/24，实现虚拟专网云专线效果，直接通过双方的内网IP地址高速互通。

二、H3C侧配置步骤

1、配置ACL 3101，定义要保护由子网10.37.0.0/16去子网192.168.0.0/24的数据流。

acl advanced 3101
 rule 0 permit ip source 10.37.0.0 0.0.255.255 destination 192.168.0.0 0.0.0.255

2、 创建IPsec安全提议ctyun

ipsec transform-set ctyun
 esp encryption-algorithm aes-cbc-128 
 esp authentication-algorithm sha1 
 pfs dh-group5

3、创建IKE keychain

ike keychain ctyun
 pre-shared-key address 2.2.2.2 255.255.255.255 key cipher password

4、创建ike提案

ike proposal 65534
 encryption-algorithm aes-cbc-128
 dh group5
 sa duration 3600

5、创建IKE profile

ike profile ctyun
 keychain ctyun
 local-identity address 1.1.1.1
 match remote identity address 2.2.2.2 255.255.255.255
 proposal 65534 

6、创建一条IKE协商方式的IPsec安全策略

ipsec policy ctyun 65534 isakmp
 transform-set ctyun 
 security acl 3101 
 remote-address 2.2.2.2
 ike-profile ctyun
 sa duration time-based 3600
 sa duration traffic-based 1843200

7、在互联网接口上应用ipsec策略

ipsec apply policy ctyun

需要注意的是该接口不能用于nat，否则IPSEC通道建立后两边无法通信。

8、新增一条去往天翼云192.168.0.0/24的静态路由

ip route-static 192.168.0.0 24 1.1.1.2

三、天翼云侧配置不在细诉，请参考上两篇文章

四、路由器连通性测试 

1、多地址路由器一定要使用10.37的地址做源地址测试

2、跟踪路由

 

五、内网连通性测试及速率测试

1、从局域网主机发起对天翼云的测速

iperf3 -c 192.168.0.144