配置总部采用冗余网关与分支建立IPSec隧道示例

　　组网需求
　　如图所示，为提高可靠性，企业总部提供AR2和AR3两台网关供企业分支网关AR5接入，分支与总部通过公网建立通信。
　　企业希望对分支与总部之间相互访问的流量进行安全保护。
　　由于分支与总部通过公网建立通信，可以在分支网关与总部网关之间建立IPSec隧道来实施安全保护。分支网关首先与总部网关AR2建立通信，如果连接建立失败，则分支网关与总部网关AR3建立通信。
　　配置思路配置接口的IP地址和到对端的静态路由，保证两端路由可达。配置ACL，以定义需要IPSec保护的数据流。配置IPSec安全提议，定义IPSec的保护方法。配置IKE对等体，定义对等体间IKE协商时的属性。分别在AR2、AR3和AR5上创建安全策略，确定对何种数据流采取何种保护方法。其中AR2和AR3采用策略模板方式创建安全策略。在接口上应用安全策略组，使接口具有IPSec的保护功能。操作步骤配置IP以及静态路由AR1Huaweisys〔Huawei〕sysAR1〔AR1〕intg000〔AR1GigabitEthernet000〕ipadd12。12。12。124〔AR1GigabitEthernet000〕q〔AR1〕intg001〔AR1GigabitEthernet001〕ipadd13。13。13。124〔AR1GigabitEthernet001〕q〔AR1〕intg002〔AR1GigabitEthernet002〕ipad10。1。1。124〔AR1GigabitEthernet002〕q〔AR1〕iproutestatic0。0。0。0012。12。12。2〔AR1〕iproutestatic0。0。0。0023。23。23。2AR2Huaweisys〔Huawei〕sysAR2〔AR2〕intg000〔AR2GigabitEthernet000〕ipadd12。12。12。224〔AR2GigabitEthernet000〕q〔AR2〕uninen〔AR2〕intg001〔AR2GigabitEthernet001〕ipadd24。24。24。224〔AR2GigabitEthernet001〕q〔AR2〕iproutestatic10。1。1。02412。12。12。1〔AR2〕iproutestatic45。45。45。02424。24。24。4〔AR2〕iproutestatic10。1。5。02424。24。24。4AR3Huaweisys〔Huawei〕sysAR3〔AR3〕intg000〔AR3GigabitEthernet000〕ipadd34。34。34。324〔AR3GigabitEthernet000〕q〔AR3〕intg001〔AR3GigabitEthernet001〕ipadd13。13。13。324〔AR3GigabitEthernet001〕q〔AR2〕iproutestatic10。1。1。02413。13。13。1〔AR2〕iproutestatic45。45。45。02434。34。34。4〔AR2〕iproutestatic10。1。5。02434。34。34。4AR4Huaweisys〔Huawei〕sysAR4〔AR4〕intg000〔AR4GigabitEthernet000〕ipadd24。24。24。424〔AR4GigabitEthernet000〕q〔AR4〕intg001〔AR4GigabitEthernet001〕ipadd34。34。34。424〔AR4GigabitEthernet001〕q〔AR4〕intg002〔AR4GigabitEthernet002〕ipadd45。45。45。424〔AR4GigabitEthernet002〕〔AR4GigabitEthernet002〕q〔AR4〕iproutestatic12。12。12。02424。24。24。2〔AR4〕iproutes13。13。13。02434。34。34。3〔AR4〕iproutes10。1。1。02424。24。24。2〔AR4〕iproutes10。1。1。02434。34。34。3〔AR4〕iproutes10。5。1。02445。45。45。5AR5Huaweisys〔Huawei〕sysAR5〔AR5〕intg000〔AR5GigabitEthernet000〕ipadd45。45。45。524〔AR5GigabitEthernet000〕q〔AR5〕intg001〔AR5GigabitEthernet001〕ipadd10。1。5。524〔AR5GigabitEthernet001〕q〔AR5〕iproutestatic0。0。0。0045。45。45。4配置ACL，定义各自要保护的数据流
　　由于AR2、AR3采用策略模板创建安全策略，引用ACL是可选操作。如果配置了ACL，则必须要指定ACL规则的目的地址，所以总部源就不配置aclAR5〔AR5〕aclnumber3100〔AR5acladv3100〕rulepermitipsource10。1。5。00。0。0。255destination10。1。1。00。0。0。255〔AR5acladv3100〕q〔AR5〕创建IPSec安全提议AR2〔AR2〕ipsecproposal1〔AR2ipsecproposal1〕espauthenticationalgorithmsha2256〔AR2ipsecproposal1〕espencryptionalgorithmaes128〔AR2ipsecproposal1〕qAR3〔AR3〕ipsecproposal1〔AR3ipsecproposal1〕espauthenticationalgorithmsha2256〔AR3ipsecproposal1〕espencryptionalgorithmaes128〔AR2ipsecproposal1〕qAR5〔AR5〕ipsecproposal1〔AR5ipsecproposal1〕espauthenticationalgorithmsha2256〔AR5ipsecproposal1〕espencryptionalgorithmaes128〔AR5ipsecproposal1〕q查看配置IPSec的信息以AR2为例displayipsecproposalNumberofproposals：1IPSecproposalname：1Encapsulationmode：TunnelTransform：espnewESPprotocol：AuthenticationSHA2HMAC256EncryptionAES128Numberofproposals当前IPSec安全提议总数。IPSecproposalname安全提议的名称。EncapsulationmodeIPSec安全提议采用的模式，包括两种：传输（transport）和隧道（tunnel）模式。TransformIPSec安全提议采用的安全协议，包括：ahnew、espnew、ahespnew，缺省情况下，IPSec安全提议使用的安全协议为ESPESPprotocolESP协议采用的认证算法和加密算法配置IKE对等体AR2配置IKE安全提议〔AR2〕ikeproposal1〔AR2ikeproposal1〕authenticationalgorithmsha1〔AR2ikeproposal1〕encryptionalgorithmaescbc128〔AR2ikeproposal1〕q配置IKE对等体〔AR2〕ikepeer1v1〔AR2ikepeer1〕presharedkeycipher20wl〔AR2ikepeer1〕ikeproposal1〔AR2ikepeer1〕q〔AR2〕AR3〔AR3〕ikeproposal1〔AR3ikeproposal1〕authenticationalgorithmsha1〔AR3ikeproposal1〕encryptionalgorithmaescbc128〔AR3ikeproposal1〕q〔AR3〕ikepeer1v1〔AR3ikepeer1〕ikeproposal1〔AR3ikepeer1〕presharedkeycipher20wl〔AR3ikepeer1〕qAR5（不支持配置多个remoteIP）〔AR5〕ikeproposal1〔AR5ikeproposal1〕authenticationalgorithmsha1〔AR5ikeproposal1〕encryptionalgorithmaescbc128〔AR5ikeproposal1〕q〔AR5〕ikepeer1v1〔AR5ikepeer1〕ikeproposal1〔AR5ikepeer1〕presharedkeycipher20wl〔AR5ikepeer1〕remoteaddress24。24。24。2〔AR5ikepeer1〕remoteaddress34。34。34。3〔AR5ikepeer1〕q创建安全策略，其中AR2和AR3采用策略模板方式创建安全策略AR2配置策略模板，并在安全策略中引用该策略模板〔AR2〕ipsecpolicytemplate11〔AR2ipsecpolicytemplet11〕ikepeer1〔AR2ipsecpolicytemplet11〕proposal1〔AR2ipsecpolicytemplet11〕q〔AR2〕ipsecpolicy21isakmptemplate1AR3配置策略模板，并在安全策略中引用该策略模板〔AR3〕ipsecpolicytemplate11〔AR3ipsecpolicytemplet11〕ikepeer1〔AR3ipsecpolicytemplet11〕proposal1〔AR3ipsecpolicytemplet11〕q〔AR3〕ipsecpolicy21isakmptemplate1AR5配置安全策略〔AR5〕ipsecpolicy11isakmp〔AR5ipsecpolicyisakmp11〕ikepeer1〔AR5ipsecpolicyisakmp11〕proposal1〔AR5ipsecpolicyisakmp11〕securityacl3100〔AR5ipsecpolicyisakmp11〕q在接口上应用各自的安全策略组，使接口具有IPSec的保护功能AR2〔AR2〕intg001〔AR2GigabitEthernet001〕ipsecpolicy2〔AR2GigabitEthernet001〕qAR3〔AR3〕intg000〔AR3GigabitEthernet000〕ipsecpolicy2〔AR3GigabitEthernet000〕qAR5〔AR5〕intg000〔AR5GigabitEthernet000〕ipsecpolicy1〔AR5GigabitEthernet000〕q检查配置结果ping测试PCping10。1。5。100Ping10。1。5。100：32databytes，PressCtrlCtobreakRequesttimeout！Requesttimeout！From10。1。5。100：bytes32seq3ttl126time47msFrom10。1。5。100：bytes32seq4ttl126time62msFrom10。1。5。100：bytes32seq5ttl126time47ms10。1。5。100pingstatistics5packet（s）transmitted3packet（s）received40。00packetlossroundtripminavgmax05262ms查看建立隧道关系AR5〔AR3〕displayikesaConnIDPeerVPNFlag（s）Phase245。45。45。50RD2145。45。45。50RD1FlagDescription：RDREADYSTSTAYALIVERLREPLACEDFDFADINGTOTIMEOUTHRTHEARTBEATLKGLASTKNOWNGOODSEQNO。BCKBACKEDUPIKESAinformation安全联盟配置信息。ConnID安全联盟的连接索引。Peer对端的IP地址和UDP端口号。VPN应用IPSec安全策略的接口所绑定的VPN实例。Flag（s）安全联盟的状态：RDREADY：表示此SA已建立成功。STSTAYALIVE：表示此端是通道协商发起方。RLREPLACED：表示此通道已经被新的通道代替，一段时间后将被删除。FDFADING：表示此通道已发生过一次软超时，目前还在使用，在硬超时时会删除此通道。TOTIMEOUT：表示此SA在上次heartbeat定时器超时发生后还没有收到heartbeat报文，如果在下次heartbeat定时器超时发生时仍没有收到heartbeat报文，此SA将被删除。HRTHEARTBEAT：表示本端IKESA发送heartbeat报文。LKGLASTKNOWNGOODSEQNO。：表示已知的最后的序列号。BCKBACKEDUP：表示备份状态。MACTIVE：表示IPSec策略组状态为主状态。SSTANDBY：表示IPSec策略组状态为备状态。AALONE：表示IPSec策略组状态为不备份状态。NEGNEGOTIATING：表示SA正在协商中。字段为空：表示IKESA正在协商中，是由隧道两端设置的某些参数不一致导致。PhaseSA所属阶段：1表示建立安全通道进行通信的阶段，此阶段建立IKESA。2表示协商安全服务的阶段，此阶段建立IPSecSA。RemoteType对端ID类型。RemoteID对端ID。AR1displayikesaConnIDPeerVPNFlag（s）Phase234。34。34。30RDST2134。34。34。30RDST1FlagDescription：RDREADYSTSTAYALIVERLREPLACEDFDFADINGTOTIMEOUTHRTHEARTBEATLKGLASTKNOWNGOODSEQNO。BCKBACKEDUP