***虚拟专用网中静态ipsec的实现

***中手工ipsec的实现

实验的要求是：1.0网络的主机能够与2.0网络的地址通信，走的是隧道模式。两台路由器也可以用防火墙做，是需要记得加区域即可。

1.路由器r1上的基本的配置

[R1-Ethernet0]ip add 192.168.2.254 24

[R1-Ethernet0]int e1 

[R1-Ethernet1]ip add 1.1.2.2 24

R1]ip route 0.0.0.0 0 1.1.2.1 (配置默认的路由用于上网)

2.三层交换机上的配置

[Quidway]vlan 10

[Quidway-vlan10]port e0/10

[Quidway-vlan10]int vlan 10

[Quidway-Vlan-interface10]ip add 1.1.2.1 255.255.255.0

[Quidway-Vlan-interface10]vlan 20

[Quidway-vlan20]port e0/20

[Quidway-vlan20]int vlan 20

[Quidway-Vlan-interface20]ip add 1.1.1.2 255.255.255.0

3.路由器r2上的基本配置

[r2-Ethernet0]int s0

[r2-Serial0]ip add 192.168.1.254 24

[r2-Serial0]loopback（用于测试）

[r2]ip route 0.0.0.0 0  1.1.1.2 

4.核心代码配置

1）创建acl用于控制数据流

[r2]acl 3000

[r2-acl-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[r2-acl-3000]rule deny ip source any destination any 

2）创建安全提议

[r2]ipsec proposal tran1（建安全提议）

[r2-ipsec-proposal-tran1]encapsulation-mode tunnel（封装模式是隧道）

[r2-ipsec-proposal-tran1]transform esp（安全协议上esp）

[r2-ipsec-proposal-tran1]esp authentication md5（验证类型是md5）

[r2-ipsec-proposal-tran1]esp encryption-al des（加密类型是des）

3）创建安全策略（acl+proposal）

[r2]ipsec policy policy1 10 manual （定义安全策略名是policy1并是手工配置）

[r2-ipsec-policy-policy1-10]security acl 3000

[r2-ipsec-policy-policy1-10]proposal tran1

4）静态的要定义下面的内容，动态的就不用了

[r2-ipsec-policy-policy1-10]tunnel local 1.1.1.1 （隧道本端的地址新的ip头部）

[r2-ipsec-policy-policy1-10]tunnel remote 1.1.2.2（隧道对端的地址）

[r2-ipsec-policy-policy1-10]sa inbound esp spi 123456（定义进入流量的索引号）

[r2-ipsec-policy-policy1-10]sa inbound esp string-key abcdef（定义进入流量的密钥）

[r2-ipsec-policy-policy1-10]sa outbound esp spi 654321

[r2-ipsec-policy-policy1-10]sa outbound esp string  fedcba

5）最后进入外出口应用此安全策略

[r2]int e0

[r2-Ethernet0]ipsec policy policy1

小结：怎么样排错：用到的命令

1.dis acl all 

2.dis ipsec proposal

3.dis ipsec policy

4.dis ipsec sa 

5.dis ip rout