上一篇文章介绍了华为 | IPSec VPN基本原理与配置步骤，正所谓：纸上得来终觉浅，绝知此事要躬行！接下来我们需要通过实际的案例来完成IPSec VPN的搭建，检验下是否真能达到需要的要求。接下来是一个案例，请跟着我完成。

实验背景：

RouterA为企业分支网关，RouterB为企业总部网关，分支与总部通过公网建立通信。分支子网为10.1.1.0/24，总部子网为10.1.2.0/24。

需求分析：

企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信，可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于维护网关较少，可以考虑采用手工方式建立IPSec隧道。

拓扑图：

操作步骤：

1、RouterA的配置

#
 sysname RouterA  
#
acl number 3101  //配置ACL 3101，匹配从分支子网到总部子网的流量
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec proposal tran1  //配置IPSec安全提议，下面两句可以不写用默认的参数
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-128 
#
ipsec policy map1 10 manual  //配置手动方式安全策略
 security acl 3101
 proposal tran1
 tunnel local 202.138.163.1
 tunnel remote 202.138.162.1
 sa spi inbound esp 54321
 sa string-key inbound esp cipher huawei  //配置入方向SA的认证密钥为huawei
 sa spi outbound esp 12345
 sa string-key outbound esp cipher Huawei  //配置出方向SA的认证密钥为huawei
#
interface GigabitEthernet1/0/0
 ip address 202.138.163.1 255.255.255.0
 ipsec policy map1
#
interface GigabitEthernet2/0/0
 ip address 10.1.1.1 255.255.255.0
#
ip route-static 202.138.162.0 255.255.255.0 202.138.163.2  //配置一条目的地址是总部外网出口的静态路由
ip route-static 10.1.2.0 255.255.255.0 202.138.163.2  //配置一条目的地址是总部内网的静态路由
#
return

2、RouterB的配置

#
 sysname RouterB 
#
acl number 3101  //配置ACL 3101，匹配从总部子网到分支子网的流量
 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
ipsec proposal tran1  //配置IPSec安全提议，下面两句可以不写用默认的参数
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-128 
#
ipsec policy use1 10 manual  //配置手动方式安全策略
 security acl 3101
 proposal tran1
 tunnel local 202.138.162.1
 tunnel remote 202.138.163.1
 sa spi inbound esp 12345
 sa string-key inbound esp cipher huawei  //配置入方向SA的认证密钥为huawei
 sa spi outbound esp 54321
 sa string-key outbound esp cipher huawei  //配置出方向SA的认证密钥为huawei
#
interface GigabitEthernet1/0/0
 ip address 202.138.162.1 255.255.255.0
 ipsec policy use1
#
interface GigabitEthernet2/0/0
 ip address 10.1.2.1 255.255.255.0
#
ip route-static 202.138.163.0 255.255.255.0 202.138.162.2  //配置一条目的地址是分支外网出口的静态路由
ip route-static 10.1.1.0 255.255.255.0 202.138.162.2  //配置一条目的地址是分支内网的静态路由
#
return

3、检查配置结果

在RouterA上执行display ipsec sa命令，可以查看IPSec隧道上配置的信息；

执行display ipsec policy [brief | name policy-name [ seq-number ]]命令，可以查看指定IPSec策略或所有IPSec策略。命令的显示信息中包括：策略名称、策略序号、提议名称、ACL、隧道的本端地址和隧道的远端地址等；

执行display ipsec statistics esp可以验证设备对（不）感兴趣流量（不）进行IPSec加密处理。

4、配置注意事项

1）分支的ACL需要与总部ACl互为镜像；

2）总部和分支之间的外网地址路由可达；

3）缺省情况下，使用ipsec proposal命令创建的IPSec提议采用ESP协议、MD5认证算法、DES加密算法和隧道封装模式；

4）在IPSec提议视图下执下列命令可以修改第3条中的默认参数

l  执行transform [ah | ah-esp | esp]命令，可以重新配置隧道采用的安全协议。

l  执行encapsulation-mode {transport | tunnel }命令，可以配置报文的封装模式。

l  执行esp authentication-algorithm [md5 | sha1 | sha2-256 | sha2-384 | sha2-512 ]命令，可以配置ESP协议使用的认证算法。

l  执行esp encryption-algorithm [des | 3des | aes-128 | aes-192 | aes-256 ]命令，可以配置ESP加密算法。

l  执行ah authentication-algorithm [md5 | sha1 | sha2-256 | sha2-384| sha2-512 ]命令，可以配置AH协议使用的认证算法。

5）所有的IPSec策略都绑定在对应的外网出接口上；

6）总部和各个分支之间都采用相同的pre-shared-key；

l  sa spi { inbound | outbound } { ah | esp } spi-number命令用来设置安全联盟的安全参数索引SPI。在配置安全联盟时，入方向和出方向安全联盟的安全参数索引都必须设置，并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同，而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。

l  sa string-key { inbound | outbound } { ah | esp } { simple | cipher } string-key命令用来设置安全联盟的认证密钥。入方向和出方向安全联盟的认证密钥都必须设置，并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同；同时，本端的出方向安全联盟密钥必须和对端的入方向安全联盟的密钥相同。