IPSEC

IPSEC VPN※

IPSEC VPN是一种通过IKE加密的VPN传输方式

配置的主要方式是

创建IKE提议→创建IKE对等体→创建IPSEC提议→创建IPSEC对等体→应用IPSEC

IPSEC VPN引流的方法分为ACL引流和隧道引流两种

使用ACL引流※

步骤1：创建IKE提议、对等体※

IKE框架※

ike proposal 提议名称
authentication-algorithm 身份验证算法 默认为MD5
encryption-algorithm 加密算法 默认为des-cbc
authentication-method 验证方法	默认为pre-share 预共享密钥

IKE对等体※

ike peer 对等体名称
# 根据验证方法设置 默认为预共享密钥
pre-shared-key cip 秘钥
remote-address 对等体IP地址（一般为公网IP）
ike-proposal 提议名称

步骤2：通过ACL规则匹配哪些网段允许使用IPSEC传输※

创建高级ACL匹配网段※

acl 3000
rule permit ip source 允许使用IPSEC VPN的网段 通配符掩码 des 目标允许使用IPSEC的网段 通配符掩码 

步骤3：创建IPSEC提议、策略※

创建IPSEC框架※

ipsec proposal 名称 
encapsulation-mode 模式 （隧道和主模式）
transform 加密方式（AH-ESP/ESP/AH）
# 根据加密方式不同决定
## ESP
esp authentication-algorithm 验证算法 默认为MD5
esp encryption-algorithm 加密算法 默认为MD5
## AH
ah authentication-algorithm 验证算法 默认为MD5

IPSEC策略※

ipsec policy 名称 序号 isakmp
security acl ACL编号
ike-peer IKE对等体名称
proposal IPSEC框架名称

步骤4：在接口上应用IPSEC※

int 出接口
ipsec policy 策略名称

使用隧道引流※

步骤1：创建IKE提议、对等体※

IKE框架※

ike proposal 提议名称
authentication-algorithm 身份验证算法 默认为MD5
encryption-algorithm 加密算法 默认为des-cbc
authentication-method 验证方法	默认为pre-share 预共享密钥

IKE对等体※

ike peer 对等体名称
# 根据验证方法设置 默认为预共享密钥
pre-shared-key cip 秘钥
ike-proposal 提议名称

步骤2：创建IPSEC提议、预设文件※

创建IPSEC框架※

ipsec proposal 名称 
encapsulation-mode 模式 （隧道和主模式）
transform 加密方式（AH-ESP/ESP/AH）
# 根据加密方式不同决定
## ESP
esp authentication-algorithm 验证算法 默认为MD5
esp encryption-algorithm 加密算法 默认为MD5
## AH
ah authentication-algorithm 验证算法 默认为MD5

IPSEC预设文件※

ipsec profile 名称
ike-peer IKE对等体名称
proposal IPSEC框架名称

步骤3：创建隧道、配置隧道、应用IPSEC※

int tun 隧道编号
tunnel-protocol ipsec
source 源环回地址
destination 目标环回地址
ipsec profile 1