IPsec VPN

IPsec VPN概述

  • VPN(Virtual Private Network),利用公共网络来构建的私人专用的逻辑连接网络。部署VPN主要是为了支持多场地互联并减少费用。风险在于数据不安全、场点之间没有专用带宽(除非支持某种连接许可控制和带宽预留机制)。VPN技术上粗略分为2层VPN(ATM、帧中继)具备良好服务质量QOS特征、3层VPN(​静态场点的点到点GRE、IPSec点到多点MPLS,动态场点的远程接入PPTP、L2TP、SSLvpn、Openvpn

IPsec VPN_IPsec VPN模式

SSLVPN分为web和客户端

IPsec VPN_IPsec VPN_02

IPsec VPN_IPsec VPN模式_03

  • IPsec(IP security),是一组开放协议的总称。定义了保护数据私密性、保证数据完整性、确保数据合法性的方法,能做到:
  • 数据的合法性:身份认证,确保信息来源的可信
  • 数据的完整性:保证数据不被修改
  • 数据的私密性:进行加密,确保数据的安全性
  • 抗重放:接收方拒绝旧的或重复的数据包,防止恶意用户通过重复发送捕获到的数据包所进行的attck
  • 通过HASH来确保数据的合法性和完整性MD5、SHA-1
  • 通过数据加密来实现数据传输的安全性:DES、3DES、AES

IPsec VPN_封装_04

传输模式多用于主机到主机、隧道模式多用于站点到站点

安全关联常被称为SA,它是SADB中的一个条目,SADB包含双方协商的IKE或IPsec安全信息,SA分为
IKE SA(ISAKMP),对等体之间IKE SA控制数据流,如协商IKE数据流进行加密、对等体进行验证的算法,一个对等体只有一个IKE SA
IPSec SA,协商对等体之间IP数据流进行加密算法,对数据流进行加密由策略定义决定。
IPSec sa是单向,至少需要两个,分别入站和出站。对等体之间有多对IPSec SA描述不同IP主机组或ip数据流

确定和维护ISAKMP/IKESA和IPSec SA是IKEv1协议的一项主要功能
(2个阶段3个模式,阶1保护秘钥,主要参数加密算法、散列算法、验证方法、DH组,阶2保护数据)
IKE分两个阶段运行 ,以确定这些IKE SA和 IPSec SA:
Phase1:让对等体彼此验证对方并确定会话密钥。这个阶段使用DH交换 、 c∞kie和ID交换创建一个ISAKMP SA。确定ISAKMPSA后 ,发起方和应答方
之间的所有lKE通信都将通过加密和完整性检资进行保护。IKE Phase 1 旨在帮助在对等体之间建立一条安全信道,以便Phase 2协商能够安全地进行
Phase2:使用ESP或AH来保护IP数据流,以协商并确定IPSec SA

当流量进行传输时,根据路由表查询,发现路由规则需要走某个接口,某个接口下面部署了IPSec从而触发了感兴趣流,感兴趣流就是要被保护的流量

IPSec工作模式术语

1、通信点
指实际进行数据通信的站点

2、加解密点
指负责将数据包进行加密和解密的站点

IPSec的实现

要实现建立IPsec隧道为两个IPsec对等体之间的数据提供安全保护,首先要配置相应的安全策略,
通过安全策略定义哪些报文属于要保护的范围,并定义用于保护这些报文的安全参数

将安全策略应用于设备的某接口上或某应用中。当IPsec对等体根据安全策略识别出要保护的报文时,
就建立一个相应的IPsec隧道并将其通过该隧道发送给对端

此处的IPsec隧道可以是提前手工配置或者由报文触发IKE协商建立。这些IPsec隧道实际上就是两个IPsec对等体之间建立的IPsec SA。
由于IPsec SA是单向的,因此出方向的报文由出方向的SA保护,入方向的报文由入方向的SA来保护。
对端接收到报文后,首先对报文进行分析、识别,然后根据预先设定的安全策略对报文进行不同的处理(丢弃,解封装,或直接转发)

根据IPsec安全策略应用方式的不同,IPsec隧道的建立又分为两种实现方式:基于接口和基于业务
基于接口的实现方式下,通过将IPsec安全策略应用到设备的接口上,使得设备对通过该接口收发的数据报文依据接口上应用的安全策略进行IPsec保护;
基于业务的实现方式下,IPsec安全策略仅与具体的业务绑定,无论该业务的报文从设备的哪个接口发送或接收,都会被IPsec保护。

目前,在基于接口的IPsec实现方式下仅支持基于ACL建立IPsec隧道

基于接口

基于ACL建立IPsec隧道的基本配置思路如下:

(1)配置ACL:指定要保护的数据流。

(2)配置IPsec安全提议:指定安全协议、认证算法、加密算法、封装模式等。

(3)配置IPsec安全策略:一个IPsec安全策略是若干具有相同名字、不同顺序号的IPsec安全策略表项的集合。在同一个IPsec安全策略中,顺序号越小的IPsec安全策略表项优先级越高。IPsec安全策略将要保护的数据流和IPsec安全提议进行了关联(即定义对何种数据流实施何种保护),并指定了IPsec SA的生成方式(手工方式、IKE协商方式)、对等体IP地址(即保护路径的起点或终点)、所需要的密钥和IPsec SA的生存时间等。

(4)在接口上应用IPsec安全策略。

数据流处理过程

IPsec VPN_IPsec VPN_05

VPN加密技术

  • 对称密钥算法
  • 加密方与解密方采用相同的密钥
  • 用于加密用户数据
  • DES、3DES、AES
  • 非对称密钥算法
  • 加密方通过对端的公钥加密数据
  • 解密方通过自己的私钥解密数据
  • 用于密钥交换和数字签名
  • RSA、DH
  • 散列函数
  • MD5
  • SHA1
  • 用于验证数据完整性

IPsec协议/组件构成

  • 算法:用于加密/解密或身份验证
  • 安全协议:AH或ESP
  • 密钥管理:ISAKMP
  • 密码学管理工具总结:

IPsec VPN_IPsec VPN_06

IPsec安全架构组成

  • IKE(Internet Key Exchange,密钥交换协议),对象是密钥,用来保证密钥的安全传输、交换以及存储
  • ESP(Encapsulation Security Payload,封装安全负载),对象为用户数据。对用户的数据进行封装,提供对数据进行认证和加密。通常采用3DES来加密,使用IP协议号50
  • AH(Authentication Header),对象为用户数据,对用户数据进行封装,只提供认证,不加密。使用IP协议号51

IPsec VPN模式

  • 传输模式(Transport Mode),封装的时候不会产生新的IP头部

IPsec VPN_IPsec VPN模式_07

  • 隧道模式(Tunnel Mode),封装的时候产生新的IP头部 ​(主流模式)

IPsec VPN_安全策略_08

ESP

IPsec VPN_IPsec VPN_09

IPsec VPN_安全策略_10


AH

IPsec VPN_封装_11

IPsec VPN_IPsec VPN_12

SA安全联盟

  • SA是隧道的一组规则,内容包括采用何种IPsec协议(AH还是ESP)、运行模式(传输模式还是隧道模式)、验证算法、加密算法、密钥生存期、抗重放窗口、计数器等,从而决定保护什么、如何保护以及谁来保护,SA是构成IPsec的基础
  • 安全联盟是单向的,​两个对等体之间的双向通信至少需要两个SA
  • ISAKMP SA(也叫IKE SA):定义了如何保护密钥。IKE SA要保护的对象是与密钥有关的,IKE并不直接关心用户数据,并且IKE SA是为安全协商IPsec SA服务的

IPsec VPN_封装_13

  • IPsec SA:定义了如何保护数据IPSec SA直接为用户数据流服务。即IPsec SA中所有安全策略都是为了用户数据流的安全。每个IPsec对等体都有一对IPsec SA,一个去往远程目的地的,而另一个是从远程回来的,也就是一进一出,都存放在本地SA Database中

IPsec VPN_IPsec VPN模式_14

  • 建立SA的方式
  • 手工方式:SA所需全部信息都必须手工配置,比较复杂,适合对等体较少或小型静态环境
  • IKE动态协商方式:只需要对等体之间配置好IKE协商参数,由IKE自动协商来创建和维护SA

2DBA

IPsec VPN_IPsec VPN模式_15

SPD(定义感兴趣)

IPsec VPN_IPsec VPN_16

SADB

IPsec VPN_IPsec VPN模式_17

隧道建立过程

IKE支持的身份验证方法

IKE交换本身影响最大的参数是验证方法,方法有4种预共享秘钥数字证书4次公钥加密2次公钥加密

最广泛使用的是如下两个:

预共享密钥

  • ​这种方法要求对等体双方必须要有相同的预共享密钥(该密钥直接参与SKEYID的生成计算)。对于设备数量较少的VPN网络来说易于配置,在大型VPN网络中,不建议采用预共享密钥来做身份认证
  • IKE主模式中使用预共享秘钥的缺点之一是ID被加密,应答方不知道发起方的身份(如远程办公),因此只能使用积极模式

RSA签名(数字证书)

  • ​数字证书需要由CA服务器来颁发。这种方法适用于大型动态的VPN网络,证书验证和预共享密钥验证的主要区别在于SKEYID的计算和交换身份信息,其他的交换和计算过程和预共享密钥验证方式相同

IKEv1

IKEv1协商过程

2个阶段3个模式

第一阶段:建立ISAKMP SA(IKE SA)

  • 两种模式:
  • 主模式(main mode):6条ISAKMP消息交互(针对站点到站点,默认模式)
  • 积极模式(aggressive mode):3条ISAKMP消息交互(主要针对远程访问,如一端无固定IP),提高IKE事务处理速度,以牺牲了安全为代价,明文方式传输且不能协商DH参数
  • ISAKMP SA是为第二阶段的ISAKMP消息提供安全保护,对象为密钥,保证密钥安全

第二阶段:建立IPsec SA

  • 一种模式
  • 快速模式(quick mode):3条ISAKMP消息交互,快速模式结束后两个对等体便使用ESP或AH来传输数据流。IPSec是单向的,因此对等体之间至少有两个IPSec SA
  • IPsec SA是为IP数据提供安全保护
  • ISAKMP SA可以用来保护多个第二阶段的IPsec SA协商的通信过程

IPsec VPN_IPsec VPN_18

IKEv1协商第一阶段过程分析(main mode)

IPsec VPN_安全策略_19

  • 第1、2个ISAKMP报文(协商加密算法、认证算法、认证方式和DH等)
  • 用于交换并协商保护ISAKMP消息的安全参数以及对等体验证方式,包含加密算法、验证算法、验证方式、ISAKMP SA生存时间等安全策略信息(即SA载荷)。IPsec实体会选择双方都支持的安全策略信息。
  • 路由器会将本地配置的所有ISAKMP策略放置在SA载荷中,发送给对端
  • 对端路由器收到发来的安全策略后,会返回本地与之匹配的策略。若本地存在多条匹配策略,则选择序号最小的策略
  • 第3、4个ISAKMP报文(算出共同密钥)
  • 用于交互IKE的密钥交换载荷(Key exchange)(预共享密钥)和随机值载荷(nonce),此过程交互信息用于双方使用DH算法计算出共同的密钥材料。SKEYID为基础密钥,通过它推导出SKEYID_a(消息完整性验证密钥)和SKEYID_e(消息加密密钥)以及SKEYID_d,用于衍生出IPsec报文加密验证密钥
  • 第5、6个ISAKMP报文(做身份验证,从此报文开始接下来的报文会被加密)
  • 用于交换身份(Identification)载荷和HASH载荷
  • 在前4条ISAKMP消息中通信双方并没有核实对方的合法性,很有可能与假冒者计算出公共密钥,从而与假冒者进行加密通信。因此要对双方的真实身份进行核实。由于已经计算出SKEYID_a和SKEYID_e,因此第5、6个ISAKMP报文是经过保护的,具体的策略为第1、2个ISAKMP报文协商的加密算法、验证算法以及刚计算出来的SKEYID_a和SKEYID_e
  • 对端路由器收到第5条ISAKMP报文后,首先对消息进行验证再解密,会将收到的身份载荷与本地存储的信息一起进行HMAC计算,得到一个HASH值,再与收到的HASH载荷进行比较,如果不相等,则会中断协商过程,相等则发出第6条ISAKMP消息
  • 对端验证本端合法后(即通过对比计算得到的HASH值与所收到的HASH值相等,及判断掌握了相同密钥),发送本地信息,供本端来验证。本端使用同样的方法判断对端是否掌握相同密钥,若判断为也合法,则第一阶段协商过程结束

IKEv1协商第二阶段过程分析(quick mode)

真正开始保护数据安全

  • 第1、2、3个ISAKMP报文
  • 第1个ISAKMP报文携带本端所配置的IPsec安全提议,即使用ESP还是AH、采用什么模式、加密IP数据使用什么加密算法、验证IP数据使用什么算法、对什么样的数据流进行保护等。以及身份认证信息,包括第一阶段计算出的密钥和第二阶段产生的密钥材料,可以再次认证对等体
  • 对端收到发出的第二阶段第1个ISAKMP报文后,首先验证报文并解密,查看SA载荷中的策略是否与本地匹配,并在本地使用同样的方法计算HASH值,并与收到的HASH载荷进行比较(身份认证)。若相同,发出第2条ISAKMP消息,包含的载荷与收到的第1个ISAKMP报文一致,并生成IPsec密钥
  • 本端收到发出的第二阶段第2个ISAKMP报文后,首先验证报文并解密,查看SA载荷中的策略是否与本地匹配,并在本地使用同样的方法计算HASH值,并与收到的HASH载荷进行比较。若相同,发出第3条ISAKMP消息,只包含HASH载荷,用以通知对端完成第二阶段IPsec SA协商并可以使用IPsec SA对IP数据进行保护

IKEv2

在Cisco 的体系中,将IKEv2统称为“FlexVPN”,名字为思科私有,技术为共有标准

IKEv2的特点

  • IKEv2是IKEv1的“升级版”,但是它并不向下兼容。也就是说在IKEv1和IKEv2同时存在的环境中,你必须要同时配置IKEv1和IKEv2;
  • IKEv2不占用IKEv1资源,也就是说它们可以同时运行在一台设备上;
  • IKEv2支持EAP认证,而IKEv1则不支持;
  • IKEv2支持MOBIKE,而IKEv1则不支持;(MOBIKE允许IKEv2用于移动平台,如手机等)
  • IKEv2已内置了NAT穿越功能,而IKEv1则需通过扩展协议支持;
  • IKEv2可以检测隧道存活状态,而IKEv1仅能使用DPD(Dead Peer Detection)。而DPD在IKEv2中已成为标准的内建功能。但思科IOS系统默认该功能是禁用的,可在IKEv2的配置文件下配置;
  • IKEv2具有可靠性检测,消息需被确认并排序。而在IKEv1中消息是没有被确认的;
  • IKEv2通过反堵塞cookie,来实现反DOS。而IKEv1则不具备该特性;
  • IKEv2可以在一个策略中配置多套选择器。因此,多个网络可以在一个交换过程中进行协商;
  • IKEv2允许两个加密引擎分别处理IPv4和IPv6流量;
  • IKEv2允许非对称验证方式,而IKEv1则只能对称验证;(即对等体间使用相同的认证方式)
  • IKEv2与IKEv1一样,使用UDP-500端口,如需NAT,则起始端口号为UDP-4500。

IKEv2的介绍

要建立一对IPSec SA,IKEv1需要经历两个阶段:“主模式+快速模式”或者“野蛮模式+快速模式”,前者至少需要交换9条消息,后者也至少需要6条消息。而IKEv2正常情况使用2次交换共4条消息就可以完成一对IPSec SA的建立,如果要求建立的IPSec SA大于一对时,每一对IPSec SA只需额外增加1次创建子SA交换,也就是2条消息就可以完

IKEv2定义了三种交换:初始化交换(Initial Exchanges),创建子SA交换(Create_Child_SA Exchange)以及通知交换(Informational Exchange)

初始交换:正常情况下,IKEv2通过初始交换就可以完成第一对IPSec SA的协商建立。IKEv2初始交换对应IKEv1的第一阶段,初始交换包含两次交换四条消息,如下图所示:

消息①和②属于第一次交换(称为IKE_SA_INIT交换),以明文方式完成IKE SA的参数协商,包括协商加密和验证算法,交换临时随机数和DH交换。IKE_SA_INIT交换后生成一个共享密钥材料,通过这个共享密钥材料可以衍生出IPSec SA的所有密钥。
消息③和④属于第二次交换(称为IKE_AUTH交换),以加密方式完成身份认证、对前两条信息的认证和IPSec SA的参数协商。IKEv2支持RSA签名认证、预共享密钥认证以及扩展认证方法EAP(Extensible Authentication Protocol)。EAP认证是作为附加的IKE_AUTH交换在IKE中实现的,发起者通过在消息3中省去认证载荷来表明需要使用EAP认证(此认证方式在前期802.1x准入认证章节有介绍)。

IPsec VPN_IPsec VPN_20

创建子SA交换

当一个IKE SA需要创建多对IPSec SA时,需要使用创建子SA交换来协商多于一对的IPSec SA。另外,创建子SA交换还可以用于IKE SA的重协商。

创建子SA交换包含一个交换两条消息,对应IKEv1协商阶段2,交换的发起者可以是初始交换的协商发起方,也可以是初始交换的协商响应方。创建子SA交换必须在初始交换完成后进行,交换消息由初始交换协商的密钥进行保护。

类似于IKEv1,如果启用PFS,创建子SA交换需要额外进行一次DH交换,生成新的密钥材料。生成密钥材料后,子SA的所有密钥都从这个密钥材料衍生出来。

通知交换

运行IKE协商的两端有时会传递一些控制信息,例如错误信息或者通告信息,这些信息在IKEv2中是通过通知交换完成的,如下图所示:

IPsec VPN_IPsec VPN_21

通知交换必须在IKE SA保护下进行,也就是说通知交换只能发生在初始交换之后。控制信息可能是IKE SA的,那么通知交换必须由该IKE SA来保护进行;也可能是某子SA的,那么该通知交换必须由生成该子SA的IKE SA来保护进行

VPN排错(重点总结)

2种SA
1)IKE SA
a.双向
b.决定了IKE协议处理相关细节
c.默认有效期为1天
2)IPSec SA
a.单向
b.与封装协议相关
c.默认有效期为1小时
3)两种类型SA都有IKE协议产生

配置思路

  1. ipsec安全提议
  2. IKE安全提议
  3. ike安全密钥
  4. ike安全框架
  5. ipsec安全策略
  6. 最后绑定到接口,匹配策略NAT、接口NAT到对端做好出口不转换

思科ikev2配置步骤

IPsec VPN_安全策略_22

IPsec VPN_IPsec VPN_23

步骤1:按照IP地址规划,为设备配置IP地址(此处省略)

步骤2:解决底层路由连通性

公司总部路由器:
ip route 2.2.2.0 255.255.255.0 10.1.1.10 //去对端私网的路由

Site_1路由器:
ip route 1.1.1.0 255.255.255.0 10.1.1.1 //本地私网的路由
ip route 2.2.2.0 255.255.255.0 20.1.1.100 //对端私网路由
ip route 30.1.1.0 255.255.255.0 20.1.1.100 //对端出口路由器路由

分公司路由器:
ip route 1.1.1.0 255.255.255.0 40.1.1.10 //去对端私网的路由

Site_2路由器:
ip route 1.1.1.0 255.255.255.0 30.1.1.100 //去对端私网的路由
ip route 2.2.2.0 255.255.255.0 40.1.1.1 //本端私网的路由
ip route 20.1.1.0 255.255.255.0 30.1.1.100 //对端出口路由的路由

步骤3:Site_1设备阶段1配置

* 创建一个IKEv2安全提议
crypto ikev2 proposal Site-1
encryption 3des
integrity sha1
group 2

* 将安全提议调用到Policy
crypto ikev2 policy Policy
proposal Site-1

* 使用预先共享密钥认证,需要配置域共享密钥
crypto ikev2 keyring PSK-key
peer Site-2
address 30.1.1.10
pre-shared-key cisco

* 创建IKEv2_Profile,制定源目加密点IP,认证方式
crypto ikev2 profile pro
match identity remote address 30.1.1.10 255.255.255.255
identity local address 20.1.1.10
authentication remote pre-share
authentication local pre-share
keyring local PSK-key

步骤4:Site_1设备的阶段2配置

* 通过ACL抓取感兴趣流量
ip access-list extended vpn
permit ip host 1.1.1.1 host 2.2.2.2

* 配置转换集策略,用于保护实际感兴趣流。
crypto ipsec transform-set Trans esp-3des esp-md5-hmac
mode tunnel

* 配置Crypto-map,汇总所配置策略。
crypto map cisco 10 ipsec-isakmp
set peer 30.1.1.10
set transform-set Trans
set ikev2-profile pro
match address vpn

* 接口应用。
interface Ethernet0/1
crypto map cisco

步骤5:Site_2设备阶段1配置

* 创建一个IKEv2安全提议
crypto ikev2 proposal Site-2
encryption 3des
integrity sha1
group 2

* 将安全提议调用到Policy
crypto ikev2 policy Policy
proposal Site-2

* 使用预共享密钥认证,配置认证密钥。
crypto ikev2 keyring PSK-key
peer Site-1
address 20.1.1.10
pre-shared-key cisco

* 创建IKEv2_Profile,指定源目加解密点IP地址,认证方式,调用本地认证密钥
crypto ikev2 profile pro
match identity remote address 20.1.1.10 255.255.255.255
identity local address 30.1.1.10
authentication remote pre-share
authentication local pre-share
keyring local PSK-key

步骤6:Site_2设备第二阶段配置

* 通过ACL抓取感兴趣流
ip access-list extended vpn
permit ip host 2.2.2.2 host 1.1.1.1

* 配置转换集策略,用于保护实际感兴趣流。
crypto ipsec transform-set Trans esp-3des esp-md5-hmac
mode tunnel

* 配置Crypto-map,汇总所配置策略。
crypto map cisco 10 ipsec-isakmp
set peer 20.1.1.10
set transform-set Trans
set ikev2-profile pro
match address vpn

* 接口应用。
interface Ethernet0/1
crypto map cisco

测试

* 测试公司总部内网到分公司的内网流量连通性。

R1#ping 2.2.2.2 source loopback 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/2/6 ms

* 查看加解密包
Site_1#show crypto engine connections active
Crypto Engine Connections

ID Type Algorithm Encrypt Decrypt LastSeqN IP-Address
1 IPsec 3DES+MD5 19 0 0 20.1.1.10
2 IPsec 3DES+MD5 0 19 19 20.1.1.10
1001 IKEv2 SHA+3DES 0 0 0 20.1.1.10

* 查看安全关联
Site_1#show crypto ikev2 sa
IPv4 Crypto IKEv2 SA

Tunnel-id Local Remote fvrf/ivrf Status
1 20.1.1.10/500 30.1.1.10/500 none/none READY
Encr: 3DES, PRF: SHA1, Hash: SHA96, DH Grp:2, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/3092 sec

IPv6 Crypto IKEv2 SA

华为ikev1配置步骤

  • 配置网络可达
  • 匹配感兴趣ACL
  • 配置第一阶段和第二阶段
  • 创建安全策略
  • 应用安全策略

IPsec VPN_IPsec VPN模式_24

1、匹配感兴趣流

R2配置

acl number 3000  
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

2、配置第一阶段和第二阶段

第一阶段第二阶段均有默认的安全策略,故不需要配置也能协商成功故本实验第一阶段只配置了对等体,第二阶段只配置了安全策略名称

ike peer huawei v1    # 定义对等体名字,ike版本
pre-sha huawei # 配置预共享密钥
remote-address 34.1.1.4 # 对端ip
ipsec proposal tran1 # 第二阶段

IPsec VPN_IPsec VPN模式_25

IPsec VPN_安全策略_26

3、配置安全策略及应用安全策略

ipsec policy vpn 1 isakmp
security acl 3000
ike-peer huawei
proposal tran1

interface GigabitEthernet0/0/1
ip address 23.1.1.2 255.255.255.0
ipsec policy vpn

4、应用安全策略

interface GigabitEthernet0/0/1
ip address 23.1.1.2 255.255.255.0
ipsec policy vpn

R2完整配置

[R2]  dis cu
[V200R003C00]
#
sysname R2
#
snmp-agent local-engineid 800007DB03000000000000
snmp-agent
#
clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#
drop illegal-mac alarm
#
set cpu-usage threshold 80 restore 75
#
acl number 3000
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

#
ipsec proposal tran1
esp encryption-algorithm aes-128
#
ike peer huawei v1
pre-shared-key simple huawei
remote-address 34.1.1.4
#
ipsec policy vpn 1 isakmp
security acl 3000
ike-peer huawei
proposal tran1
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
local-user admin service-type http
#
firewall zone Local
priority 15
#
interface Ethernet0/0/0
#
interface Ethernet0/0/1
#
interface Ethernet0/0/2
#
interface Ethernet0/0/3
#
interface Ethernet0/0/4
#
interface Ethernet0/0/5
#
interface Ethernet0/0/6
#
interface Ethernet0/0/7
#
interface GigabitEthernet0/0/0
ip address 12.1.1.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 23.1.1.2 255.255.255.0
ipsec policy vpn
#
interface NULL0
#
ospf 1
area 0.0.0.0
network 23.1.1.2 0.0.0.0
#
ip route-static 192.168.1.0 255.255.255.0 12.1.1.1
ip route-static 192.168.2.0 255.255.255.0 23.1.1.3
#
user-interface con 0
authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return

R4完整配置

dis cu
[V200R003C00]
#
sysname R4
#
snmp-agent local-engineid 800007DB03000000000000
snmp-agent
#
clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#
drop illegal-mac alarm
#
set cpu-usage threshold 80 restore 75
#
acl number 3000
rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

#
ipsec proposal tran1
#
ike peer huawei v1
pre-shared-key simple huawei
remote-address 23.1.1.2
#
ipsec policy vpn 1 isakmp
security acl 3000
ike-peer huawei
proposal tran1
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
local-user admin service-type http
#
firewall zone Local
priority 15
#
interface Ethernet0/0/0
#
interface Ethernet0/0/1
#
interface Ethernet0/0/2
#
interface Ethernet0/0/3
#
interface Ethernet0/0/4
#
interface Ethernet0/0/5
#
interface Ethernet0/0/6
#
interface Ethernet0/0/7
#
interface GigabitEthernet0/0/0
ip address 34.1.1.4 255.255.255.0
ipsec policy vpn
#
interface GigabitEthernet0/0/1
ip address 45.1.1.4 255.255.255.0
#
interface NULL0
#
ospf 1
area 0.0.0.0
network 34.1.1.4 0.0.0.0
#
ip route-static 192.168.1.0 255.255.255.0 34.1.1.3
ip route-static 192.168.2.0 255.255.255.0 45.1.1.5
#
user-interface con 0
authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return