IPSEC VPN（华为）工作流程

1. 配置安全ACL：配置哪些流量需要被保护
2. 配置安全提议：配置IPsec的参数
3. 配置IKE：预共享密钥，配置身份验证方法、加密算法等安全参数
4. 配置安全策略：1和2做关联
5. 在接口应用安全策略

具体配置命令：

1、通过ACL定义需要保护的数据流

[R1]acl 3000

[R1-acl-adv-3000]rule permit ip source 50.50.50.0 0.0.0.255 destination 60.60.60.0 0.0.0.255

//对端设备配置类似，只是源地址和目的地址交换

2、配置IPsec安全提议（封装模式、安全协议、加密算法和验证算法）

[R1]ipsec proposal tran1 //起名，进入ipsec安全提议视图

[R1-ipsec-proposa-tran1]encapsulation-mode tunnel

//配置工作在隧道模式下（可选传输模式transform）

[R1-ipsec-proposa-tran1]transform esp

//安全协议使用ESP（可选AH，默认ESP）

[R1-ipsec-proposa-tran1]esp encryption-algorithm 3des

//对数据机密性保护采用3DES算法（可选DES、AES）

[R1-ipsec-proposa-tran1] esp authentication-algorithm sha1

//用SHA1哈希算法保证报文完整性（可选MD5）

[R1-ipsec-proposa-tran1]quit

//对端设备配置相同

3、配置IKE对等体

[R1]ike peer peer1 //命名

[R1-ike-peer-peer1]pre-shared-key simple Huawei

//配置预共享密钥（一般情况配置简要的密码认证）,两端网关设备的密码相同，则成为IKE对等体，成为安全网关

[R1-ike-peer-peer1]remote-address 20.20.20.1

//指定对端IP

[R1-ike-peer-peer1]quit

//对端配置类似，指定对端IP的时候，指定30.30.30.1

还可以配置IKE提议（常见考法：作解释）：

[R1]ike proposal {proposal-number}

//数值越小，级别越高

[R1-ike-proposal-10]encryption-algorithm {3des-cbc|aes-cbc[key-length]|des-cbc}

//默认CBC模式的56位DES

[R1-ike-proposal-10]authentication-mathod {pre-share|rsa-signature} //默认pre-share（预共享密钥）

[R1-ike-proposal-10]authentication-algorithm {MD5|sha}

//默认SHA-1验证算法

[R1-ike-proposal-10]dh {group1（768位）| group2（1024位）| group3（1536位）| group4（2048位）}

//进行密钥交换时候用的算法，默认group1

[R1-ike-proposal-10]sa duration seconds

//设置安全关联超时的时间，默认86400

如未作配置，则采用默认的IKE提议：DES、SHA-1、pre-Share、gourp1、86400

4、配置IPsec安全策略（并将1、2进行关联）

[R1]ipsec policy csaimap 1 isakmp //给安全策略起名

[R1-ipsec-policy-isakmp-csaimap-1]proposal tran1

[R1-ipsec-policy-isakmp-csaimap-1]security acl 3000

[R1-ipsec-policy-isakmp-csaimap-1]ike-peer peer1

[R1-ipsec-policy-isakmp-csaimap-1]quit

//对端设备配置一致

5、在接口上应用IPsec安全策略组

[R1]interface s0/0

[R1-serial 0/0]ipsec policy csaimap

//在隧道的起止点上应用

//对端设备配置基本类似，但注意对端地址需要修改

注意：考试中通常结合VPN原理来考，配置命令考法：解释或填空

三、策略路由（华为）

概念：普通的路由根据路由表进行转发，策略路由根据规则对报文进行过滤和转发，是传统路由的一种有效加强。通常用在负载均衡的网络。

优先级：策略路由大于静态路由（60）和动态路由（看具体协议）

作用：例如访问联通的服务器用联通的数据线路，访问电信的服务器用电信的数据线路。

要求看懂配置命令