第四十五-VPN章节-IPsec（下）

• 资料下载：
• 链接：点击这里
  提取码：d80u

IPSec VPN置步骤

IPSec VPN配置

IPSec VPN对等体配置的安全提议参数必须一致。

安全策略将要保护的数据流和安全提议进行绑定。

ipsec policy policy-name seq-number命令用来创建一条IPSec策略，并进入IPSec策略视图。安全策略是由policy-name和seq-number共同来确定的，多个具有相同policy-name的安全策略组成一个安全策略组。在一个安全策略组中最多可以设置16条安全策略，而seq-number越小的安全策略，优先级越高。在一个接口上应用了一个安全策略组，实际上是同时应用了安全策略组中所有的安全策略，这样能够对不同的数据流采用不同的安全策略进行保护。

IPSec策略除了指定策略的名称和序号外，还需要指定SA的建立方式。如果使用的是IKE协商，需要执行ipsec-policy-template命令配置指定参数。如果使用的是手工建立方式，所有参数都需要手工配置。本示例采用的是手工建立方式。

security acl acl-number命令用来指定IPSec策略所引用的访问控制列表。

proposal proposal-name命令用来指定IPSec策略所引用的提议。

tunnel local { ip-address | binding-interface }命令用来配置安全隧道的本端地址。

tunnel remote ip-address命令用来设置安全隧道的对端地址。

sa spi { inbound | outbound } { ah | esp } spi-number命令用来设置安全联盟的安全参数索引SPI。在配置安全联盟时，入方向和出方向安全联盟的安全参数索引都必须设置，并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同，而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。

sa string-key { inbound | outbound } { ah | esp } { simple | cipher } string-key命令用来设置安全联盟的认证密钥。入方向和出方向安全联盟的认证密钥都必须设置，并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同；同时，本端的出方向安全联盟密钥必须和对端的入方向安全联盟的密钥相同。

mipsec policy policy-name命令用来在接口上应用指定的安全策略组。手工方式配置的安全策略只能应用到一个接口。

IPSec VPN 策略配置方式

acl number 3001 
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.5.0 0.0.0.255 
#
ipsec proposal 5

ipsec policy nanjing 10 manual
security acl 3001
proposal 5
tunnel local 23.1.1.1
tunnel remote 45.1.1.1
sa spi inbound esp 12345
sa string-key inbound esp simple huawei
sa spi outbound esp 12345
sa string-key outbound esp simple huawei

interface GigabitEthernet0/0/0
ip address 23.1.1.1 255.255.255.252 
ipsec policy nanjing

ip route-static 10.1.5.0 255.255.255.0 45.1.1.1