1 配置需求或說明

1.1適用產品係列

  本案例適用於ERG2 產品係列路由器：ER8300G2-X、ER6300G2、ER3260G2、ER3200G2等，MER係列路由器，如：MER3220、MER5200、MER8300。

1.2配置需求及實現的效果

  在總部和分部之間分別建立安全隧道，對客戶總部PC1所在的子網（192.168.10.0）與客戶分支機構PC2所在的子網（192.168.2.0）之間的數據流進行安全保護。安全協議采用ESP協議，加密算法采用3DES，認證算法采用MD5，ERG2作為總部，MER作為分部。

2 組網圖

3 配置步驟

3.1配置ERG2路由器

#選擇【VPN】--【IPSEC VPN】--【虛接口】。單擊【新增】按鈕，將其與對應的出接口進行綁定，單擊【增加】。

#選擇【VPN】--【IPSEC VPN】--【IKE安全提議】。單擊【新增】按鈕，設置驗證算法和加密算法分別為MD5、3DES，DH組選擇DH2，單擊【增加】。

#選擇【VPN】--【IPSEC VPN】--【IKE對等體】。單擊【新增】按鈕，選擇野蠻模式，選擇對應的虛接口，對端地址填寫0.0.0.0。在“ID類型”選擇NAME，本端ID為ER，對端ID為MSR，預共享秘鑰填寫123456，保證兩端秘鑰一致，單擊【增加】。

#選擇【VPN】--【IPSEC VPN】--【IPSEC安全提議】。單擊【新增】，選擇安全協議類型為ESP，並設置驗證算法和加密算法分別為MD5、3DES，單擊【增加】。

#選擇【VPN】--【IPSEC VPN】--【IPSEC安全策略】。選中“啟用IPSec功能”複選框，單擊【應用】按鈕生效。單擊【新增】按鈕，本端子網192.168.10.0/24，對端子網192.168.2.0/24，並選擇協商類型，對等體，安全提議，單擊【增加】。

#為經過IPSec VPN隧道處理的報文設置路由，才能使隧道兩端互通（一般情況下，隻需要為隧道報文配置靜態路由即可）。選擇【高級設置】--【路由設置】--【靜態路由】，單擊【新增】，目的地址填寫 192.168.2.0，出接口選擇ipsec1。 

3.2配置MER路由器

#選擇【虛擬專網】--【IPsec VPN】--【IPsec策略】單擊【添加】按鈕 。

#選擇分支節點，對端地址填寫5.5.5.5，預共享秘鑰為123456，保證兩端秘鑰一致，配置保護流，本端地址為192.168.2.0/24，對端地址為192.168.10.0/24，並點擊高級設置進行下一步設置。

#IKE配置，協商模式選擇野蠻模式，本端身份類型選擇FQDN，填寫MER，對端身份類型選擇IP地址，填寫5.5.5.5，認證算法，加密算法，PFS分部為MD5，3DES-CBC，DH2，保證與ERG2側一致。

#IPsec配置，安全協議選擇ESP，認證算法MD5，加密算法3DES-CBC，PFS為Group1，算法保證與ERG2保持一致。   

3.3保存配置 

3.4驗證配置

#ERG2側，點擊【VPN】--【IPSEC VPN】--【安全聯盟】，查看ipsec隧道信息。

#MER側，點擊【虛擬專網】--【IPsec VPN】--【監控信息】，查看ipsec隧道信息。