【华为实验】eNSP模拟IPsec VPN

拓扑：

配置：

按拓扑规划配置接口IP，然后在AR1和AR3上配置指向AR2接口的默认路由，使得AR1和AR3的G0/0/0接口能够互通。AR2只需配置接口IP无其他配置（此部分配置不贴出）

   开始IPsec配置（AR1）：

抓取内网流量

[r1]acl number 3000
[r1-acl-adv-3000] rule 5 permit ip source 1.1.1.0 0.0.0.255 destination 3.3.3.0 0.0.0.255
[r1-acl-adv-3000] quit

ike配置

[r1]ike proposal 1
[r1-ike-proposal-1] encryption-algorithm 3des-cbc
[r1-ike-proposal-1] authentication-algorithm md5
[r1-ike-proposal-1] quit

[r1]ike peer r3 v1
[r1-ike-peer-r3]pre-shared-key simple huawei（设置协商密钥，两端需一致）
[r1-ike-peer-r3]ike-proposal 1(调用刚才的ike配置)
[r1-ike-peer-r3]remote-address 200.1.1.3（对端vpn网关公网接口地址）

IPsec配置

[r1]ipsec proposal 1
[r1-ipsec-proposal-1]transform ah（设置封装协议）

[r1]ipsec policy L 10 isakmp （L是自定义的名称，10是自定义的序号，isakmp是使用ike来建立ipsec SA）
[r1-ipsec-policy-isakmp-L-10] security acl 3000（调用上面的acl）
[r1-ipsec-policy-isakmp-L-10] ike-peer r3（调用上面的ike peer）
[r1-ipsec-policy-isakmp-L-10] proposal 1（调用刚才的ipsec配置）

接口配置

[r1]interface GigabitEthernet0/0/0（设备的公网接口）
[r1-GigabitEthernet0/0/0] ipsec policy L（调用上面的policy）

AR3配置：

抓取内网流量

[r3]acl nu 3000
[r3-acl-adv-3000]rule 5 permit ip source 3.3.3.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 

ike配置

[r3]ike proposal 1
[r3-ike-proposal-1] encryption-algorithm 3des-cbc
[r3-ike-proposal-1] authentication-algorithm md5

[r3]ike peer r1 v1
[r3-ike-peer-r1] pre-shared-key simple huawei
[r3-ike-peer-r1] ike-proposal 1
[r3-ike-peer-r1] remote-address 100.1.1.1

IPsec配置

[r3]ipsec proposal 1
[r3-ipsec-proposal-1] transform ah

[r3]ipsec policy L 10 isakmp 
[r3-ipsec-policy-isakmp-L-10] security acl 3000
[r3-ipsec-policy-isakmp-L-10] ike-peer r1
[r3-ipsec-policy-isakmp-L-10] proposal 1

接口配置

[r1]interface GigabitEthernet0/0/0
[r1-GigabitEthernet0/0/0] ipsec policy L

配置完毕，可看到建立的IKE SA状态(RD后的ST代表ike sa为存活状态)：

IPsec sa brief（若配置有误，此处不会有类似显示）:

IPsec sa：

注意：若配置有误，则不会查询到类似以上的sa状态！

以loopback口为源测试通信：

网络技术交流群645026970

End...