1 业务需求

站点A和站点B两端都有固定的IPv4地址，两个站点所在的局域网中包含IPv4主机和IPv6主机，两个局域网之间需要通过建立点到点的IPsec VPN隧道实现安全的互访。

认证方式均使用预共享密钥方式，使用隧道模式封装，通信双方都可以主动发起连接。

2 网络规划

图2-1 两端为IPv4地址的点到点IPsec组网图

3 配置思路

站点A和站点B的配置思路相同。

1、配置设备接口IP（本案例不做详细说明）

2、配置VTI隧道接口（若通过配置向导方式创建VPN隧道，则无需单独配置）

3、配置IPsec VPN隧道

• 配置对等体的地址或域名

• 配置和对等体对称的感兴趣流

• 配置和对等体相同的预共享密钥

• 配置和对等体相同的IKE、IPsec参数

• 选择IKE主模式/野蛮模式协商

4、配置两端保护子网互访的静态路由（若通过配置向导方式创建VPN隧道，则无需单独配置）

4 注意事项

• 仅NBR_NTOS1.0R10P7及以后版本，设备支持两端地址为IPv6地址时通过IKEv1和IKEv2的预共享密钥认证方式协商建立IPsec VPN隧道，感兴趣流支持同时配置IPv4和IPv6网段，安全协议支持ESP。

• NBR_NTOS1.0R10P7以前的版本，设备只支持两端地址为IPv4地址的IPsec协商，感兴趣流仅支持配置IPv4网段。

• 隧道两端设备支持通过IP地址或者域名通信，使用IP地址建立隧道时，必须是固定的公网IP地址；若IP地址不固定（如通过DHCP、PPPoE等方式获取IP），可使用域名建立隧道，此时，需要先配置DDNS策略。

5 配置步骤

配置IPsec前，请先完成站点A和站点B的接口IP、默认路由等基本网络配置，配置时注意：站点A和站点B的IP地址或者域名必须是固定的。在本例中，以固定IPv4地址为例。

5.1 配置向导方式

5.1.1 配置站点A

(1)    配置准备

登录站点A网关设备，点击[网络]>>[VPN管理]>>[IPsec VPN]>>[配置向导]，进入配置向导页面。

等待配置检测完成后，点击<下一步>，进入基本配置。

说明：若配置检测未通过，请根据检测结果检查相关配置，确保设备满足VPN配置条件再配置IPsec VPN，否则VPN隧道可能无法正常建立。

(2)    基本配置

按如下参数配置，部署场景选择“点到点”。配置完成，点击<下一步>进入认证配置。

(3)    认证配置

按如下参数配置。配置完成，点击<下一步>进入感兴趣流配置。

(4)    感兴趣流配置

点击<新增>按钮，按如下参数新增感兴趣流。配置完成，点击<下一步>进入配置确认页面。

(5)    确认配置是否正确，确认无误后，点击<完成>。

5.1.2 配置站点B

(1)    配置准备

登录站点B网关设备，点击[网络]>>[VPN管理]>>[IPsec VPN]>>[配置向导]，进入配置向导页面。

等待配置检测完成后，点击<下一步>，进入基本配置。

(2)    基本配置

按如下参数配置，部署场景选择“点到点”。配置完成，点击<下一步>进入认证配置。

(3)    认证配置

按如下参数配置。口令需要与总部配置的口令相同。配置完成，点击<下一步>进入感兴趣流配置。

(4)    感兴趣流配置

点击<新增>按钮，按如下参数新增感兴趣流。配置完成，点击<下一步>进入配置确认页面。

(5)    确认配置是否正确，确认无误后，点击<完成>。

5.2 自定义隧道方式

5.2.1 配置站点A

(1)    配置隧道接口

a    登录站点A网关设备，点击[网络]>>[接口]>>[隧道接口]>>[VTI接口]菜单项。

b    点击<新增>按钮，进入VTI接口配置页面。

c    在VTI接口配置页面，配置参数如下：

○   接口名称：vti1

○   接口类型：LAN

(2)     配置IPsec隧道

a    基本配置

点击[网络]>>[VPN管理]>>[IPsec VPN]>>[自定义隧道]菜单项，并点击<新增>按钮，进入自定义隧道基本配置页面。

在自定义隧道基本配置页面，参数配置如下：

○  隧道名称：Site-to-Site

○  启用状态：启用

○  隧道接口：选择vti1，

○  对端地址：1.1.1.2

○  本端地址：选择接口Ge0/1

○  认证方式：使用默认的预共享密钥，输入口令和确认口令，本例中设置口令值为“ruijie123”。该口令需要与站点B配置的口令相同

基本配置结束，点击<下一步>进入感兴趣流配置页面。

b    感兴趣流配置

在感兴趣流配置页面，点击<新增>按钮，添加2条感兴趣流，配置参数如下：

○  代理方式：选择“子网到子网”

○  保护IPv4数据流：输入本端网络为10.0.1.0/24，对端网络为20.0.1.0/24。

○  保护IPv6数据流：输入本端网络为2001::/64，对端网络为3001::/64。

感兴趣流配置结束，点击<下一步>进入安全参数配置页面。

c    安全参数配置

在安全参数配置页面，选择IKE参数和IPsec参数，确保使用和对端设备相匹配的配置：

○  IKE协商模式选择主模式，加密算法选择AES-128，验证算法选择SHA，DH组选择GROUP5，SA生存周期选择86400（单位为秒）。

○  IPsec协议选择ESP，封装模式选择Tunnel，加密算法选择AES-128，验证算法选择SHA，不开启完美前向保密开关，SA生存周期选择3600（单位为秒），隧道MTU配置为1400。

d    点击<完成>，完成IPsec隧道的创建。

(3)    配置静态路由

a    点击[网络]>>[路由/负载]>>[静态路由]>>[IPv4]菜单项。

b    点击<新增>按钮，创建到达VPN对端IPv4保护子网的静态路由。

c    点击[网络]>>[路由/负载]>>[静态路由]>>[IPv6]菜单项。

d    点击<新增>按钮，创建到达VPN对端IPv6保护子网的静态路由。

5.2.2 配置站点B

(1)    配置隧道接口

a    登录站点B网关设备，点击[网络]>>[接口]>>[隧道接口]>>[VTI接口]菜单项。

b    点击<新增>按钮，进入VTI接口配置页面。

c    在VTI接口配置页面，配置参数如下：

○   接口名称：vti1

○   接口类型：LAN

(2)     配置IPsec隧道

a    基本配置

点击[网络]>>[VPN管理]>>[IPsec VPN]>>[自定义隧道]菜单项，并点击<新增>按钮，进入自定义隧道基本配置页面。

在自定义隧道基本配置页面，参数配置如下：

○  隧道名称：Site-to-Site

○  启用状态：启用

○  隧道接口：选择vti1

○  对端地址：1.1.1.1

○  本端地址：选择接口Ge0/1

○  认证方式：使用默认的预共享密钥，输入口令和确认口令，口令值为“ruijie123”。该口令需要与站点A配置的口令相同

基本配置结束，点击<下一步>进入感兴趣流配置页面。

b    感兴趣流配置

在感兴趣流配置页面，点击<新增>按钮，添加2条感兴趣流，配置参数如下：

○  代理方式：选择“子网到子网”

○  保护IPv4数据流：输入本端网络为20.0.1.0/24，对端网络为10.0.1.0/24。

○  保护IPv6数据流：输入本端网络为3001::/64，对端网络为2001::/64。

感兴趣流配置结束，点击<下一步>进入安全参数配置页面。

c    安全参数配置

在安全参数配置页面，选择IKE参数和IPsec参数，确保使用和对端设备相匹配的配置：

○  IKE协商模式选择主模式，加密算法选择AES-128，验证算法选择SHA，DH组选择GROUP5，SA生存周期选择86400（单位为秒）。

○  IPsec协议选择ESP，封装模式选择Tunnel，加密算法选择AES-128，验证算法选择SHA，不开启完美前向保密开关，SA生存周期选择3600（单位为秒），隧道MTU配置为1400。

d    点击<完成>，完成IPsec隧道的创建。

(3)    配置静态路由

a    点击[网络]>>[路由/负载]>>[静态路由]>>[IPv4]菜单项。

b    点击<新增>按钮，创建到达VPN对端IPv4保护子网的静态路由。

c    点击[网络]>>[路由/负载]>>[静态路由]>>[IPv6]菜单项。

d    点击<新增>按钮，创建到达VPN对端IPv6保护子网的静态路由。

6 验证配置结果

6.1 查看站点A结果

• 登录站点A设备，点击[网络]>>[VPN管理]>>[IPsec VPN]>>[隧道监控]，即可查看到隧道建立情况及隧道状态详情。

• 登录站点A设备，点击[运营]>>[日志]>>[VPN日志]>>[IPsec]，可查看到IPsec隧道协商日志。

6.2 查看站点B结果

• 登录站点B设备，点击[网络]>>[VPN管理]>>[IPsec VPN]>>[隧道监控]，即可查看到隧道建立情况及隧道状态详情。

• 登录站点B设备，点击[运营]>>[日志]>>[VPN日志]>>[IPsec]，可查看到IPsec隧道协商日志。