参考这个连接：

https://www.h3c.com/cn/d_201910/1240704_30005_0.htm

1  简介

本文档介绍路由器IPsec VPN功能的典型配置举例。

2  配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec VPN特性。

3  使用版本

本举例是在路由器Version 7.1.064,Release 0605P01版本上进行配置和验证的。

4  配置举例

4.1  组网需求

出于安全因素，需要对Host A所在的子网（10.1.1.0/24）与Host B所在的子网（10.1.2.0/24）之间的数据流进行安全保护，因此需要在Device A和Device B之间建立一条IPsec隧道，如图1所示。具体要求如下：

·            组网方式为点到点。

·            IKE协商方式建立IPsec SA。

图1 IPsec VPN典型配置组网图

4.2  配置步骤

1. 配置Device A

(1)       配置LAN口的IP地址：

·            模块化设备

# 选择“网络设置 > LAN配置”，单击<添加>按钮，进入新建LAN配置页面。配置如下参数：

¡  名称：GigabitEthernet0/1；

¡  IP地址：10.1.1.1；

¡  子网掩码：255.255.255.0。

·            非模块化设备

# 选择“网络设置 > LAN配置”，进入LAN配置页面。选中默认的Vlan-interface1接口，单击<修改>按钮，进入修改LAN配置页面，配置如下参数：

¡  IP地址：10.1.1.1；

¡  子网掩码：255.255.255.0。

¡  IP地址范围：10.1.1.2~10.1.1.254

¡  网关地址：10.1.1.1

¡  DNS1:10.1.1.1

(2)       配置WAN口的IP地址：

·            模块化设备

# 选择“网络设置 > 外网配置”，单击<添加>按钮，进入添加WAN配置页面。配置如下参数

¡  名称：GigabitEthernet0/2；

¡  连接模式：固定地址；

¡  IP地址：2.2.2.1；

¡  子网掩码：255.255.255.0。

·            非模块化设备

# 选择“网络设置 > 端口管理”，进入端口管理页面，将GigabitEthernet0/2的端口类型切换为WAN2。

# 选择“网络设置 > 外网配置”，进入外网配置页面。根据实际应用场景，在场景定义页面选择单WAN场景、双WAN场景或者多WAN场景。以单WAN场景为例，线路1选择WAN2（GE0/2），单击应用按钮确定。在WAN配置页面中，单击修改WAN1配置按钮，配置如下参数并单击保存配置按钮确定：

¡  连接模式：固定地址；

¡  IP地址：2.2.2.1；

¡  子网掩码：255.255.255.0。

(3)       配置到达Host B所在子网的静态路由。

选择“高级选项 > 静态路由”，进入静态路由配置页面。配置步骤为：

·            单击<添加>按钮，进入添加IPv4静态路由页面。

·            在添加IPv4静态路由页面中配置如下，其中2.2.2.3为本例中直连下一跳地址：

¡  目的IP地址：10.1.2.0；

¡  掩码长度：24；

¡  出接口：GE0/2；

¡  下一跳IP地址：2.2.2.3；

¡  其他配置项均保持默认情况即可。

(4)       配置IPsec策略。

选择“虚拟专网 > IPsec VPN”，进入IPsec策略配置页面。配置步骤为：

·            在IPsec策略页签下单击<添加>按钮，进入添加IPsec策略页面。

·            在添加IPsec策略页面的基本配置中配置内容如图2所示：

¡  名称：map1；

¡  接口：GigabitEthernet0/2；

¡  组网方式：点到点；

¡  对端网关地址：2.2.3.1；

¡  预共享密钥：123456TESTplat&!；

¡  ACL：3101，单击右侧<+>按钮定义保护由子网10.1.1.0/24去往子网10.1.2.0/24的数据流，并单击<添加>按钮确定添加，如图3所示。

图2 配置IPsec策略

图3 定义ACL规则保护数据流

·            单击<返回>按钮，在添加IPsec策略页面高级配置的IKE配置页签中配置内容如下：

¡  协商模式：主模式；

¡  对端身份类型：选择IP地址，且IP地址为2.2.3.1；

¡  对等体存活检测（DPD）：选择关闭；

¡  其他配置项均保持默认情况即可。

·            先单击“返回基本配置”，再单击“确定”，完成IPsec策略的创建。

2. 配置Device B

(1)       配置LAN口的IP地址：

·            模块化设备

# 选择“网络设置 > LAN配置”，单击<添加>按钮，进入新建LAN配置页面。配置如下参数：

¡  名称：GigabitEthernet0/1；

¡  IP地址：10.1.2.1；

¡  子网掩码：255.255.255.0。

·            非模块化设备

# 选择“网络设置 > LAN配置”，进入LAN配置页面。选中默认的Vlan-interface1接口，单击<修改>按钮，进入修改LAN配置页面，配置如下参数：

¡  IP地址：10.1.2.1；

¡  子网掩码：255.255.255.0。

¡  IP地址范围：10.1.2.2~10.1.2.254

¡  网关地址：10.1.2.1

¡  DNS1:10.1.2.1

(2)       配置WAN口的IP地址：

·            模块化设备

# 选择“网络设置 > 外网配置”，单击<添加>按钮，进入添加WAN配置页面。配置如下参数

¡  名称：GigabitEthernet0/2；

¡  连接模式：固定地址；

¡  IP地址：2.2.3.1；

¡  子网掩码：255.255.255.0。

·            非模块化设备

# 选择“网络设置 > 端口管理”，进入端口管理页面，将GigabitEthernet0/2的端口类型切换为WAN2。

# 选择“网络设置 > 外网配置”，进入外网配置页面。根据实际应用场景，在场景定义页面选择单WAN场景、双WAN场景或者多WAN场景。以单WAN场景为例，线路1选择WAN2（GE0/2），单击应用按钮确定。在WAN配置页面中，单击修改WAN1配置按钮，配置如下参数并单击保存配置按钮确定：

¡  连接模式：固定地址；

¡  IP地址：2.2.3.1；

¡  子网掩码：255.255.255.0。

(3)       配置到达Host A所在子网的静态路由。

# 选择“高级选项 > 静态路由”，进入静态路由配置页面。配置步骤为：

·            单击<添加>按钮，进入添加IPv4静态路由页面。

·            在添加IPv4静态路由页面中配置如下，其中2.2.3.3为本例中直连下一跳地址：

¡  目的IP地址：10.1.1.0；

¡  掩码长度：24；

¡  出接口：GE0/2；

¡  下一跳IP地址：2.2.3.3；

¡  其他配置项均保持默认情况即可。

(4)       配置IPsec策略。

# 选择“虚拟专网 > IPsec VPN”，进入IPsec策略配置页面。配置步骤为：

·            在IPsec策略页签下单击<添加>按钮，进入添加IPsec策略页面。

·            在添加IPsec策略页面的基本配置中配置内容如图4下：

¡  名称：map1；

¡  接口：GigabitEthernet0/2；

¡  组网方式：点到点；

¡  对端网关地址：2.2.2.1；

¡  预共享密钥：123456TESTplat&!；

¡  ACL：3101，单击右侧<+>按钮定义保护由子网10.1.2.0/24去往子网10.1.1.0/24的数据流，并单击<添加>按钮确定添加，如图5所示。

图4 配置IPsec策略

图5 定义ACL规则保护数据流

·            单击<返回>按钮，在添加IPsec策略页面高级配置的IKE配置页签中配置内容如下：

¡  协商模式：主模式；

¡  对端身份类型：选择IP地址，且IP地址为2.2.2.1；

¡  对等体存活检测（DPD）：选择关闭；

¡  其他配置项均保持默认情况即可。

·            先单击“返回基本配置”，再单击“确定”，完成IPsec策略的创建。

4.3  验证配置

(1)       Host A可以Ping通Host B。

C:\Users\abc>ping 10.1.2.2

Ping 10.1.2.2 (10.1.2.2): 56 data bytes, press CTRL_C to break

56 bytes from 10.1.2.2: icmp_seq=0 ttl=254 time=2.137 ms

56 bytes from 10.1.2.2: icmp_seq=1 ttl=254 time=2.051 ms

56 bytes from 10.1.2.2: icmp_seq=2 ttl=254 time=1.996 ms

56 bytes from 10.1.2.2: icmp_seq=3 ttl=254 time=1.963 ms

56 bytes from 10.1.2.2: icmp_seq=4 ttl=254 time=1.991 ms

--- Ping statistics for 10.1.2.2 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 1.963/2.028/2.137/0.062 ms

C:\Users\abc>

(2)       完成上述配置后，在“虚拟专网 > IPsec VPN >”的监控信息页签上可以看到添加成功的IPsec策略，以Device A为例，状态列显示为Active。

图6 IPsec VPN监控信息

4.4  配置文件

1. Device A的配置文件

#

interface GigabitEthernet0/2                                                   

 port link-mode route                                                          

 ip address 2.2.2.1 255.255.255.0                                                

 ipsec apply policy map1                                                     

#                                                                              

 ip route-static 10.1.2.0 24 GigabitEthernet0/2 2.2.2.3                       

#                                                                              

acl advanced 3101                                                              

 rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255    

#                                                                              

ipsec transform-set map1                                                       

 esp encryption-algorithm 3des-cbc                                              

 esp authentication-algorithm sha1                                             

#                                                                              

ipsec policy map1 65535 isakmp                                                  

 transform-set map1                                                            

 security acl 3101                                                             

 remote-address 2.2.3.1                                                         

 ike-profile map1                                                              

 sa duration time-based 3600                                                   

 sa duration traffic-based 1843200                                             

#                                                                              

ike profile map1                                                               

 keychain map1                                                                 

 match remote identity address 2.2.3.1 255.255.255.255                         

 proposal 65535                                                                

#                                                                              

ike proposal 65535                                                             

#                                                                              

ike keychain map1                                                              

 pre-shared-key address 2.2.3.1 255.255.255.255 key cipher $c$3$JMfOzUZHJJez+qj8

51bANVI7Ajc0SN93cz1IisFGva7jYJ0=                                               

#

2. Device B的配置文件

#                                                                              

interface GigabitEthernet0/2                                                 

 port link-mode route 

 ip address 2.2.3.1 255.255.255.0                                                

 ipsec apply policy map1                                                        

#                                                                              

 ip route-static 10.1.1.0 24 GigabitEthernet0/2 2.2.3.3                      

#                                                                              

acl advanced 3101                                                              

 rule 0 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255     

#                                                                              

ipsec transform-set map1                                                       

 esp encryption-algorithm 3des-cbc                                             

 esp authentication-algorithm sha1                                             

#                                                                               

ipsec policy map1 65535 isakmp                                                 

 transform-set map1                                                            

 security acl 3101                                                              

 remote-address 2.2.2.1                                                        

 ike-profile map1                                                              

 sa duration time-based 3600                                                   

 sa duration traffic-based 1843200                                             

#                                                                              

ike profile map1                                                               

 keychain map1                                                                 

 match remote identity address 2.2.2.1 255.255.255.255                         

 proposal 65535                                                                 

#                                                                              

ike proposal 65535                                                             

#                                                                               

ike keychain map1                                                              

 pre-shared-key address 2.2.2.1 255.255.255.255 key cipher $c$3$8SrxW140hr0wTl+Z

DoCkdyvdG61R8+9OCWKkkZ9EW5oPmsc=                                                

#