问

RT-MSR830-5BEI-WiNet手机远程连接办公网

IPSec VPN

2025-07-16提问

0关注
0收藏，316浏览

zhiliao_NUSoq

zhiliao_NUSoq 零段

粉丝：1人关注：0人

问题描述：

RT-MSR830-5BEI-WiNet手机远程连接办公网,原使用L2TPVPN，因新手机不再支持l2TPVPN，现在手机都为IKEV2 /IPSec psk 、IKEV2 /IPSec RSA等VPN，无法连接办公网，路由器可否配置新手机支持的VPN服务，有无实例可参考？

组网及组网描述：

路由器为办公网出口通过PPOE拨号上网，获取外网动态地址，配置DDNS解析地址。

路由器信息：Boot image: flash:/msr830ei-cmw710-boot-r0809p25.bin

Boot image version: 7.1.064P80, Release 0809P25

最佳答案

zhl188

zhl188 六段

粉丝：2人关注：3人

这个是华为的方案，感觉和华三的差不多，你参考着配置试试。我也在寻求这种方式。希望你成功，然后到时候分享出来。我手里主要没有测试设备。

1.1.1 CLI举例：移动办公用户采用Android手机通过IKEv1+XAUTH认证方式接入总部VPN

移动办公用户通过与总部网关建立L2TP over IPSec隧道连接安全访问总部内网。员工通过使用Android手机进行拨号，从而访问总部服务器。

组网需求

如图2-33所示，手机通过Internet连接到企业总部。要求手机与总部的通信通过IPSec隧道进行加密传输。同时，为了加强移动办公用户使用IPSec隧道接入企业内网的安全性，企业总部统一要求对移动办公用户的接入身份做进一步的身份验证。

为了实现上述的要求，企业总部网关需要配置IKEv1+XAUTH认证方式与移动办公用户建立IPSec隧道。

图1-1 移动办公用户采用Android手机通过IKEv1+XAUTH认证方式接入总部VPN组网

数据规划

项目	数据
FW	接口号：GigabitEthernet 1/0/1 IP地址：1.1.1.2/24 安全区域：Untrust
接口号：GigabitEthernet 1/0/2 IP地址：10.1.1.1/24 安全区域：Trust
地址池和AAA配置地址池名称：pool1 地址范围：10.2.1.2～10.2.1.100 RADIUS服务器地址：10.1.1.5 RADIUS服务器认证密码：huawei@12
IPSec配置 IPSec安全策略类型：模板方式IPSec安全策略安全协议：ESP ESP协议验证算法：sha2-256 ESP协议加密算法：aes-128 IKE协议验证算法：sha2-256 IKE协议加密算法：aes-256 IKE协商模式：野蛮模式预共享密钥：huawei@123 本端ID类型：IP 对端ID类型：any
Phone	用户名：huawei 用户密码：Hello@123 预共享密钥：huawei@123

项目

数据

接口号：GigabitEthernet 1/0/1

IP地址：1.1.1.2/24

安全区域：Untrust

接口号：GigabitEthernet 1/0/2

IP地址：10.1.1.1/24

安全区域：Trust

地址池和AAA配置

地址池名称：pool1

地址范围：10.2.1.2～10.2.1.100

RADIUS服务器地址：10.1.1.5

RADIUS服务器认证密码：huawei@12

IPSec配置

IPSec安全策略类型：模板方式IPSec安全策略

安全协议：ESP

ESP协议验证算法：sha2-256

ESP协议加密算法：aes-128

IKE协议验证算法：sha2-256

IKE协议加密算法：aes-256

IKE协商模式：野蛮模式

预共享密钥：huawei@123

本端ID类型：IP

对端ID类型：any

Phone

用户名：huawei

用户密码：Hello@123

预共享密钥：huawei@123

配置思路

l 在FW上完成基本配置，包括接口、安全策略和路由的配置。

l 在FW上完成IPSec的配置。

l 在Phone上完成IPSec的相关配置，需要注意的是Phone配置的IPSec参数需要与FW的IPSec参数对应。

操作步骤

步骤 1 配置FW。

1. 配置接口IP地址。

<sysname> system-view
[sysname] sysname FW
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 1.1.1.2 24
[FW-GigabitEthernet1/0/1] quit
[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 10.1.1.1 24
[FW-GigabitEthernet1/0/2] quit

2. 配置接口加入相应的安全区域。

a. 将接口GigabitEthernet 1/0/2加入Trust区域。

[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/2
[FW-zone-trust] quit

b. 将接口GigabitEthernet 1/0/1加入Untrust区域。

[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/1
[FW-zone-untrust] quit

3. 配置域间安全策略。

# 配置安全策略，允许总部用户主动向Phone用户发起访问。

[FW] security-policy
[FW-policy-security] rule name policy1
[FW-policy-security-rule-policy1] source-zone trust
[FW-policy-security-rule-policy1] destination-zone untrust
[FW-policy-security-rule-policy1] source-address 10.1.1.0 24
[FW-policy-security-rule-policy1] destination-address 10.2.1.0 24
[FW-policy-security-rule-policy1] action permit
[FW-policy-security-rule-policy1] quit

# 配置安全策略，允许Phone用户主动向总部用户发起访问。

[FW-policy-security] rule name policy2
[FW-policy-security-rule-policy2] source-zone untrust
[FW-policy-security-rule-policy2] destination-zone trust
[FW-policy-security-rule-policy2] destination-address 10.1.1.0 24
[FW-policy-security-rule-policy2] action permit
[FW-policy-security-rule-policy2] quit

# 配置安全策略，允许Phone用户与总部协商建立IPSec隧道。

Local和Untrust的域间策略用于控制IKE协商报文通过FW，该域间策略可以使用源地址和目的地址作为匹配条件，也可以在此基础上使用协议、端口作为匹配条件。本例中是以源地址和目的地址为例介绍，如果需要使用协议、端口作为匹配条件，则需要放开ESP服务和UDP 500端口（NAT穿越场景中还需要放开4500端口）。

[FW-policy-security] rule name policy3
[FW-policy-security-rule-policy3] source-zone local
[FW-policy-security-rule-policy3] destination-zone untrust
[FW-policy-security-rule-policy3] source-address 1.1.1.2 32
[FW-policy-security-rule-policy3] action permit
[FW-policy-security-rule-policy3] quit

[FW-policy-security] rule name policy4
[FW-policy-security-rule-policy4] source-zone untrust
[FW-policy-security-rule-policy4] destination-zone local
[FW-policy-security-rule-policy4] destination-address 1.1.1.2 32
[FW-policy-security-rule-policy4] action permit
[FW-policy-security-rule-policy4] quit
[FW-policy-security] quit

4. 配置FW到Phone的公网和私网路由。

[FW] ip route-static 2.1.1.0 255.255.255.0 1.1.1.1
[FW] ip route-static 10.2.1.0 255.255.255.0 10.1.1.2

5. 配置业务方案。

a. 配置地址池。

[FW] ip pool pool1
[FW-ip-pool-pool1] network 10.2.1.0 mask 255.255.255.0
[FW-ip-pool-pool1] section 1 10.2.1.2 10.2.1.100
[FW-ip-pool-pool1] quit

b. 配置RADIUS服务器模板。

[FW] radius-server template temp1
[FW-radius-temp1] radius-server authentication 10.1.1.5 1812 weight 80
[FW-radius-temp1] radius-server shared-key cipher huawei@12
[FW-radius-temp1] undo radius-server user-name domain-included
[FW-radius-temp1] quit

c. 配置接入用户使用的业务方案。

[FW] aaa
[FW-aaa] authentication-scheme xauth
[FW-aaa-authen-xauth] authentication-mode radius
[FW-aaa-authen-xauth] quit
[FW-aaa] service-scheme serv1
[FW-aaa-service-serv1] ip-pool pool1
[FW-aaa-service-serv1] quit
[FW-aaa] domain xauth
[FW-aaa-domain-xauth] radius-server temp1
[FW-aaa-domain-xauth] authentication-scheme xauth
[FW-aaa-domain-xauth] service-type internetaccess ike
[FW-aaa-domain-xauth] service-scheme serv1
[FW-aaa-domain-xauth] new-user add-temporary group /xauth
[FW-aaa-domain-xauth] quit
[FW-aaa] quit

6. 配置IPSec。

a. 配置IPSec隧道保护的数据流。

[FW] acl 3001
[FW-acl-adv-3001] rule 5 permit ip destination 10.2.1.0 0.0.0.255
[FW-acl-adv-3001] quit

b. 配置IPSec安全提议tran1。

[FW] ipsec proposal tran1
[FW-ipsec-proposal-tran1] encapsulation-mode tunnel
[FW-ipsec-proposal-tran1] transform esp
[FW-ipsec-proposal-tran1] esp authentication-algorithm sha2-256
[FW-ipsec-proposal-tran1] esp encryption-algorithm aes-128
[FW-ipsec-proposal-tran1] quit

c. 配置IKE安全提议。

[FW] ike proposal 1
[FW-ike-proposal-1] authentication-method pre-share
[FW-ike-proposal-1] encryption-algorithm aes-256
[FW-ike-proposal-1] authentication-algorithm sha2-256
[FW-ike-proposal-1] dh group2
[FW-ike-proposal-1] quit

d. 配置IKE Peer。

[FW] ike peer peer1
[FW-ike-peer-peer1] undo version 2
[FW-ike-peer-peer1] ike-proposal 1
[FW-ike-peer-peer1] exchange-mode aggressive
[FW-ike-peer-peer1] pre-shared-key huawei@123
[FW-ike-peer-peer1] xauth enable
[FW-ike-peer-peer1] xauth type chap
[FW-ike-peer-peer1] quit

e. 配置模板方式的IPSec安全策略policy。

[FW] ipsec policy-template policy_temp 1
[FW-ipsec-policy-templet-policy_temp-1] security acl 3001
[FW-ipsec-policy-templet-policy_temp-1] proposal tran1
[FW-ipsec-policy-templet-policy_temp-1] ike-peer peer1
[FW-ipsec-policy-templet-policy_temp-1] quit
[FW] ipsec policy policy 10 isakmp template policy_temp

f. 在GigabitEthernet 1/0/1接口上应用安全策略policy。

[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ipsec policy policy
[FW-GigabitEthernet1/0/1] quit

步骤 2 配置Phone。

进入手机的“设置”页面，参照下图完成配置。

----结束

结果验证

1. 在手机上启用VPN连接。

输入用户名和密码，单击连接。

连接成功后，Phone可以正常访问总部。

2. 在FW执行display ike sa命令可看到IPSec隧道建立成功。

<FW> display ike sa
IKE SA information :
Conn-ID    Peer          VPN     Flag(s)   Phase   RemoteType RemoteID
-----------------------------------------------------------------------------
400236    2.1.1.2:500            RD|A      v1:2    IP          2.1.1.2
400235    2.1.1.2:500            RD|A      v1:1    IP          2.1.1.2

Number of IKE SA : 2
-----------------------------------------------------------------------------

Flag Description:
RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP
M--ACTIVE   S--STANDBY   A--ALONE NEG--NEGOTIATING