1 配置需求或說明

1.1適用產品係列

  本案例適用於ERG2 產品係列路由器：ER8300G2-X、ER6300G2、ER3260G2、ER3200G2等，Comware V7平台的MSR830-WiNet係列路由器，如MSR830-10BEI-WiNet 、MSR830-6EI-WiNet 、MSR830-5BEI-WiNet 、MSR830-6BHI-WiNet 、MSR830-10BHI-WiNet等。MSR版本：0605P20

1.2配置需求及實現的效果

  在總部和分部之間分別建立安全隧道，對客戶總部PC所在的子網（192.168.2.0）與客戶分支機構PC所在的子網（192.168.1.0）之間的數據流進行安全保護。安全協議采用ESP協議，加密算法采用3DES，認證算法采用MD5。

2 組網圖

3 配置步驟

3.1配置ER G2路由器

#選擇“VPN→IPSEC VPN→虛接口”。單擊<新增>按鈕，在彈出的對話框中選擇一個虛接口通道，並將其與對應的出接口進行綁定，單擊<增加>按鈕完成操作

#選擇“VPN→IPSEC VPN→IKE安全提議”。單擊<新增>按鈕，在彈出的對話框中輸入安全提議名稱，並設置驗證算法和加密算法分別為MD5、3DES，單擊<增加>按鈕完成操作

#選擇“VPN→IPSEC VPN→IKE對等體”。單擊<新增>按鈕，在彈出的對話框中輸入對等體名稱，選擇主模式，選擇對應的虛接口。在對端地址填寫對端的IP或者域名，並選擇已創建的安全提議信息，預共享密鑰和MSR側保持一致，單擊<增加>按鈕完成操作

#選擇“VPN→IPSEC VPN→IPSec安全提議”。單擊<新增>按鈕，在彈出的對話框中輸入安全提議名稱，選擇安全協議類型為ESP，並設置驗證算法和加密算法分別為MD5、3DES，單擊<增加>按鈕完成操作

#選擇“VPN→IPSEC VPN→IPSec安全策略”。選中“啟用IPSec功能”複選框，單擊<應用>按鈕生效。單擊<新增>按鈕，在彈出的對話框中輸入安全策略名稱，在“本地子網IP/掩碼”和“對端子網IP/掩碼”文本框中分別輸入兩端對應子網信息，並選擇協商類型，對等體，安全提議，單擊<增加>按鈕完成操作

#為經過IPSec VPN隧道處理的報文設置路由，才能使隧道兩端互通（一般情況下，隻需要為隧道報文配置靜態路由即可）。選擇“高級設置→路由設置→靜態路由”，單擊<新增>按鈕，在彈出的對話框中，設置目的地址、子網掩碼等參數，單擊<增加>按鈕完成操作

3.2配置MSR路由器

#選擇“虛擬專網→IPSEC VPN→Ipsec策略”。單擊<添加>按鈕，在彈出的對話框中填寫ipsec策略名稱，單WAN默認選擇WAN口，多WAN要手動選擇對應WAN口，組網方式選擇點到點，對端地址填寫對端的IP，預共享密鑰和ER側填寫一致，ACL數字寫3000以上的，點擊ACL後的“+”進入ACL配置頁麵。

#進入ACL配置頁麵選擇受保護的協議為IP，填寫兩端ipsec網段信息，注意後麵填寫為反掩碼，點擊<添加>按鈕添加，可以添加多條規則，完成後點擊<顯示高級配置>按鈕進入高級配置。

#高級配置IKE配置協商模式選擇主模式，本端身份類型和對端身份類型選擇IP,填寫兩端WAN口地址，算法組合與ER側一致，驗證算法、加密算法和PFS分別為MD5、3DES、DH2，單擊<Ipsec配置>按鈕進行下一步操作

#Ipsec配置算法組合和ER側保持一致，安全協議、認證算法和加密算法分別為：ESP、MD5、3DES，封裝模式為隧道模式，單擊<返回基本配置>按鈕進入基本配置後點擊<確定>完成配置。

4 驗證配置

#查看VPN狀態

兩端均設置完成後，保護流ping後建立隧道。您可以通過選擇ER路由器的“VPN→IPSEC VPN→安全聯盟”頁麵，MSR的“ 虛擬專網→IPSEC VPN→監控信息”，並單擊<刷新>按鈕來查看相應的隧道是否已成功建立。

 

ER隧道建立圖

MSR隧道建立圖