上网行为管理ACG1000-AK230IPSec隧道设置

2.4  IPSec典型配置举例

2.4.1  组网需求

如下图2-10所示，在设备 A 和设备 B之间建立两个安全隧道，对Host A 代表的子网（2.2.2.0/24）与Host B 代表的子网（13.13.13.0/24）之间的数据流进行安全保护，同时实现隧道备份。

2.4.2  组网图

图2-10 IPsec举例组网图

2.4.3  配置步骤

(1)     中心设备IPSEC快速配置

对设备 A的IPSEC配置如图2-11所示。

图2-11 设备 A的IPSEC快速配置

(2)     分支设备IPSEC快速配置

对设备 B的IPSEC快速配置如图2-12、图2-13所示。

图2-12 设备 B的ISPEC快速配置

图2-13 设备 B选路策略配置

2.4.4  验证配置结果

在导航栏中选择“网络配置 > VPN > IPsec-VPN >IPsec快速配置> IPsec 监控”，查看隧道建立状态。

图2-14 设备 A的IPsec监控

图2-15 设备 B的IPsec 监控

0. 前提
本端：ACG1000-AK230，有公网固定 IP / 域名，外网口（如 GE0/2）已配 IP 并连通。
对端：防火墙 / 路由器，也有公网 IP，双方预共享密钥、算法、感兴趣流必须一致。
模式：主模式 + 隧道模式 + ESP（标准）。
1. 登录与入口
浏览器访问：https://ACG管理IP
菜单：VPN → IPSec VPN → IPSec 第三方对接


2. 第一步：新建 IKE 策略（第一阶段）
切到 IKE 策略 → 新建
关键参数（和对端一致）：
名称：IKE-to-对端
IKE 版本：v1（主模式）
加密算法：AES-128
认证算法：SHA-256
DH 组：Group14（2048 位）
预共享密钥：自定义强密码（两端必须相同）
生存周期：86400 秒
提交。
3. 第二步：新建 IPSec 安全提议（第二阶段）
切到 IPSec 提议 → 新建
关键参数：
名称：IPSec-to-对端
安全协议：ESP
封装模式：隧道模式
加密算法：AES-128
认证算法：SHA-256
PFS：Group14（或关闭，和对端一致）
生存周期：3600 秒
提交。
4. 第三步：新建 IPSec 隧道（核心）
切到 IPSec 隧道 → 新建 IPSec


基本配置：
通道名称：IPSec-总部-分支
外出接口：选外网口（如 GE0/2，有公网 IP 的接口）
对端地址：填对端公网 IP / 域名
IKE 策略：选刚才建的IKE-to-对端
IPSec 提议：选刚才建的IPSec-to-对端
自动连接：开启
感兴趣流（保护网段，双向镜像）：
本端子网：192.168.1.0/24（内网）
对端子网：192.168.2.0/24（对方内网）
动作：保护
→ 对端也要镜像配置：本端写对方网段，对端写我方网段。
高级选项：
NAT 穿越：开启（如果一端在 NAT 后）
保活周期：10 秒
提交。
5. 第四步：配置静态路由（必须）
菜单：网络配置 → 路由管理 → 静态路由 → IPv4
目的地址：对端内网网段（如 192.168.2.0/24）
下一跳：对端公网 IP 或 出接口（外网口）
提交。
6. 第五步：启用 IPSec 并验证
回到 IPSec 隧道 列表，启用隧道（开关打开）。
状态变成已连接即成功。
测试：本端内网 ping 对端内网，能通即可。
常见坑（必看）
感兴趣流必须双向镜像，不能只配单边。
所有算法、密钥、生存周期、PFS必须和对端完全一致。
外网口必须是路由模式，不能是透明模式。
路由必须指向对端内网，走隧道转发。

可以找一下ACG对应版本的配置手册，都有介绍的。一般情况下ACG多数是串在防火墙和核心之间的，透明部署。IPSEC的话需要当出口用，至少要是3层部署