MSG360---MER路由器 IPSEC VPN野蛮模式配置（WEB页面）

1 配置需求或说明

1.1适用产品系列

本手册适用于如下产品：MSG360产品，包含：MSG360-4、MSG360-4-PWR、MSG360-10、MSG360-20、MSG360-40、MSG360-10-PWR。

1.2配置需求及实现的效果

在总部和分部之间分别建立安全隧道，对客户总部PC1所在的子网（192.168.1.0/24）与客户分支机构PC2所在的子网（192.168.0.0/24）之间的数据流进行安全保护。MER路由器作为总部，MSG360作为分部。

2 组网图

3 配置步骤

3.1 配置MSG360

#选择【网络】--【VPN】--【开启VPN功能】。

选择【我是分部】，VPN类型选择【IPsec】，填写总部公网地址为2.2.2.1，预共享密码为123456（需和总部侧保持一致），本端ID选择FQDN：MSG，添加两边内网需要互访的感兴趣流。

点击【显示高级设置】，协商模式选择【野蛮模式】，设置IKE和IPsec相关算法：

3.2 配置MER路由器

#选择【虚拟专网】--【IPsec VPN】--【IPsec策略】单击【添加】按钮 。

#选择分支节点，对端地址填写1.1.1.1，预共享秘钥为123456，保证两端秘钥一致，配置保护流，本端地址为192.168.1.0/24，对端地址为192.168.0.0/24，并点击显示高级设置进行下一步设置。

#IKE配置，协商模式选择野蛮模式，本端身份类型选择IP地址，填写2.2.2.1，对端身份类型选择FQDN，填写MSG，认证算法，加密算法，PFS分部为MD5，3DES-CBC，DH1，保证与MSG360侧一致。

#IPsec配置，安全协议选择ESP，认证算法SHA1，加密算法AES256，算法保证与MSG360保持一致。

#保存配置

3.3 验证配置

#MSG侧ping对端内网：

MSG360 web页面无法查看到隧道信息，命令行dis ike sa和dis ipsec sa，显示如下：

<H3C>  dis ike sa

    Connection-ID   Remote                Flag         DOI   

------------------------------------------------------------------

    3               2.2.2.1               RD           IPsec 

Flags:

RD--READY RL--REPLACED FD-FADING RK-REKEY

<H3C>dis ipsec sa

-------------------------------

Interface: GigabitEthernet1/0/5

-------------------------------

  -----------------------------

  IPsec policy: equal_ipsec_1

  Sequence number: 10

  Mode: ISAKMP

  -----------------------------

    Tunnel id: 0

    Encapsulation mode: tunnel

    Perfect Forward Secrecy:

    Inside VPN:

    Extended Sequence Numbers enable: N

    Traffic Flow Confidentiality enable: N

    Path MTU: 1428

    Tunnel:

        local  address: 1.1.1.1

        remote address: 2.2.2.1

    Flow:

        sour addr: 192.168.0.0/255.255.255.0  port: 0  protocol: ip

        dest addr: 192.168.1.0/255.255.255.0  port: 0  protocol: ip

    [Inbound ESP SAs]

      SPI: 2806121437 (0xa74203dd)

      Connection ID: 107374182400

      Transform set: ESP-ENCRYPT-AES-CBC-256 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843199/3388

      Max received sequence-number: 3

      Anti-replay check enable: Y

      Anti-replay window size: 64

      UDP encapsulation used for NAT traversal: N

      Status: Active

    [Outbound ESP SAs]

      SPI: 2554324882 (0x983fe792)

      Connection ID: 4294967297

      Transform set: ESP-ENCRYPT-AES-CBC-256 ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843199/3388

      Max sent sequence-number: 3

      UDP encapsulation used for NAT traversal: N

      Status: Active

#MER侧，点击【虚拟专网】--【IPsec VPN】--【监控信息】，查看ipsec隧道信息。