1 配置需求或說明

1.1  適用產品係列

本案例適用於如MSR800、MSR830、MSR900、MSR900E、MSR930等MSR800、MSR830、MSR900、MSR930係列的路由器。

1.2  配置需求及實現的效果

Router A MSR V5路由器和Router B MSR V7路由器，在兩者之間建立一個安全隧道，對客戶分支機構A所在的子網（192.168.1.0/24）與客戶分支機構B所在的子網（192.168.2.0/24）之間的數據流進行安全保護，實現兩端子網終端通過IPsec VPN 隧道進行互訪。

2 組網圖

3 配置步驟

3.1  基本上網配置

路由器基本上網配置省略，MSR V5路由器的上網具體設置步驟請參考“2.1.2 路由器外網使用固定IP地址上網配置方法”章節中“MSR830[930][2600]係列路由器基本上網（靜態IP）命令行配置（V5）”案例，MSR V7路由器的上網具體設置步驟請參考“2.1.2 路由器外網使用固定IP地址上網配置方法”章節中“MSR830-WiNet係列路由器基本上網（靜態IP）命令行配置（V7）”案例

3.2  配置IPSEC VPN

3.2.1  配置MSR V5 Router A

單擊【VPN】--【IPsec VPN】, 點擊【新建】

#接口選擇【G0/0】，組網模式選擇【站點到站點】，對端網關地址填寫【2.2.2.2】，本端網關地址填寫【1.1.1.1】，預共享秘鑰填寫【1】

#篩選方式選擇【流量特征】，源地址/通配符填寫【192.168.1.0/0.0.0.255】，目的地址/通配符填寫【192.168.2.0/0.0.0.255】，第一階段交換模式選擇【主模式】，認證加密算法選擇【MD5/3DES】，第二階段協議選擇【ESP】，認證加密算法選擇【MD5/3DES】，點擊【確定】

3.2.2.  配置MSR V7 Router B

#單擊【虛擬專網】--【IPsec VPN】--【IPsec策略】，點擊【添加】

#選擇【G0/0】接口，組網方式選擇【點到點】對端網關地址填寫【1.1.1.1】，預共享秘鑰保證兩端一致【1】， 添加ACL【3000】點擊【+】

#添加兩端的保護流，協議選擇【ip】本端受保護網段【192.168.2.0/0.0.0.255】，對端受保護網段【192.168.1.0/0.0.0.255】，點擊【添加】，完成後點擊【返回】

#點擊【顯示高級配置】

#配置IKE，協商模式選擇【主模式】，本端地址為【2.2.2.2】，對端地址為【1.1.1.1】，算法組合選擇【自定義】，認證算法，加密算法，PFS分別選擇【MD5，3DES-CBC，DH1】，保證兩端的算法一致。

#配置IPsec，算法組合選擇【自定義】，安全協議選擇【ESP】，認證算法選擇【MD5】，加密算法選擇【3DES-CBC】，並保證兩端算法一致，點擊【返回基本配置】

#點擊【確定】

#在設備的命令行添加感興趣流不做NAT轉換的命令，在公網口G0/0調用

注：如果不調用deny數據流的操作會出現單通的情況，V5設備下的終端可以ping通V7下的終端，V7下的終端 ping不通V5下的終端。

3.3  保存配置

#點擊頁麵右上角保存按鈕

3.4  驗證配置結果

#在MSRV7下麵的終端ping對端MSRV5內網電腦的地址

#MSR V7可以看到隧道情況

#MSR V5看到的隧道情況