采用默认配置通过IKE协商方式建立IPSec隧道示例

2025-06-05 147

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 本文介绍了通过配置IPSec隧道实现分支与总部网络间流量安全保护的组网需求与操作步骤。分支网关RouterA和总部网关RouterB通过公网通信，子网分别为10.1.1.0/24和10.1.2.0/24。配置思路包括：设置接口IP地址与静态路由、定义ACL规则、配置IPSec安全提议、IKE对等体属性、安全策略以及在接口上应用策略组，确保数据流的安全传输。

组网需求

如图所示，RouterA为企业分支网关，RouterB为企业总部网关，分支与总部通过公网建立通信。分支子网为10.1.1.0/24，总部子网为10.1.2.0/24。

企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信，可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。

配置思路

采用如下思路配置采用IKE协商方式建立IPSec隧道：

配置接口的IP地址和到对端的静态路由，保证两端路由可达。
配置ACL，以定义需要IPSec保护的数据流。
配置IPSec安全提议，定义IPSec的保护方法。
配置IKE对等体，定义对等体间IKE协商时的属性。
配置安全策略，并引用ACL、IPSec安全提议和IKE对等体，确定对何种数据流采取何种保护方法。
在接口上应用安全策略组，使接口具有IPSec的保护功能。

操作步骤

配置接口的IP地址和到对端的静态路由

RouterA

<Huawei> sys
[Huawei] sys RouterA
[RouterA] int g0/0/1
[RouterA-GigabitEthernet0/0/1] ip add 1.1.1.1 255.255.255.0
[RouterA-GigabitEthernet0/0/1] q
[RouterA] int g0/0/0
[RouterA-GigabitEthernet0/0/0] ip add 10.1.1.1 255.255.255.0
[RouterA-GigabitEthernet0/0/0] q
[RouterA] ip route-static 2.1.1.0 24 1.1.1.2
[RouterA] ip route-static 10.1.2.0 24 1.1.1.2

RouterB

<Huawei> sys
[Huawei] sys RouterB
[RouterB] int g0/0/0
[RouterB-GigabitEthernet0/0/1] ip address 2.1.1.1 24
[RouterB-GigabitEthernet0/0/1] q
[RouterB] int g0/0/0
[RouterB-GigabitEthernet0/0/0] ip address 10.1.2.1 24
[RouterB-GigabitEthernet0/0/0] q
[RouterB] ip route-static 1.1.1.0 24 2.1.1.2
[RouterB] ip route-static 10.1.1.0 24 2.1.1.2

Internet

#模拟环境需要配置
<Huawei>sys
[Huawei]sys Internet
[Internet]int g0/0/0
[Internet-GigabitEthernet0/0/0]ip add 1.1.1.2 24
[Internet-GigabitEthernet0/0/0]q
[Internet]int g0/0/1
[Internet-GigabitEthernet0/0/1]ip add 2.1.1.2 24
[Internet-GigabitEthernet0/0/1]q

配置ACL，定义各自要保护的数据流

RouterA

[RouterA] acl number 3100
[RouterA-acl-adv-3101] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[RouterA-acl-adv-3101] q

RouterB

[RouterB] acl number 3100
[RouterB-acl-adv-3101] rule permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
[RouterB-acl-adv-3101] q

配置IPSec安全提议，定义IPSec的保护方法

RouterA

[RouterA] ipsec proposal 21wl
[RouterA-ipsec-proposal-tran1] esp authentication-algorithm sha1
#
[RouterA-ipsec-proposal-tran1] encryption-algorithm aes-cbc-192
[RouterA-ipsec-proposal-tran1] quit

采用默认配置通过IKE协商方式建立IPSec隧道示例

组网需求

配置思路

操作步骤

配置接口的IP地址和到对端的静态路由

RouterA

RouterB

Internet

配置ACL，定义各自要保护的数据流

RouterA

RouterB

配置IPSec安全提议，定义IPSec的保护方法

RouterA

RouterB

配置IKE对等体，定义对等体间IKE协商时的属性。

RouterA

RouterB

配置安全策略，并引用ACL、IPSec安全提议和IKE对等体，确定对何种数据流采取何种保护方法。

RouterA

RouterB

在接口上应用安全策略组，使接口具有IPSec的保护功能。

RouterA

RouterB

热门文章

最新文章

相关电子书

探索云世界

热门

云计算

大数据

云原生

人工智能

数据库

开发与运维

活动广场

任务中心

训练营

直播

乘风者计划

下载

镜像站

技术资料

采用默认配置通过IKE协商方式建立IPSec隧道示例

组网需求

配置思路

操作步骤

配置接口的IP地址和到对端的静态路由

RouterA

RouterB

Internet

配置ACL，定义各自要保护的数据流

RouterA

RouterB

配置IPSec安全提议，定义IPSec的保护方法

RouterA

RouterB

配置IKE对等体，定义对等体间IKE协商时的属性。

RouterA

RouterB

配置安全策略，并引用ACL、IPSec安全提议和IKE对等体，确定对何种数据流采取何种保护方法。

RouterA

RouterB

在接口上应用安全策略组，使接口具有IPSec的保护功能。

RouterA

RouterB

热门文章

最新文章

相关电子书