华为路由器 ipsec配置实例

华为路由器IPSec配置实例

IPSec是一种用于保护网络通信的安全协议。它可以在互联网上创建一条加密通道，使得网络上的数据包在传输过程中被加密，从而提高网络的安全性。下面是华为路由器IPSec配置的操作步骤和注意事项：

操作步骤

1、单击“添加”。

2、配置预共享密钥、IKE参数和IPSec参数，需两端配置一致。然后单击“下一步”。

3、查看所配置的IPSec VPN的详细信息。单击“完成”，完成IPSec VPN向导的配置。

需要注意的是，如果两端使用缺省参数协商建立IPSec隧道，必须确保两端的缺省值都一样，否则将会导致IPSec隧道建立失败。如果对双方的缺省值不清楚，建议手工进行配置。

结果验证

对于流量触发建立IPSec隧道，首个业务报文不会进入隧道封装，会被丢弃掉。这是因为首包发出时，IPSec隧道还未建立，无法进行转发。例如，分支用户向总部用户发送了10个ICMP报文，实际使用display ipsec statistics命令查看时，统计信息中可能显示只有9个报文，这属于正常情况。

可以使用display ipsec statistics命令查看IPSec隧道中报文的变化。通过input/output security packets字段的值的变化可以判断报文是否经过IPSec隧道传输。例如，input/output security packets: 4/4，说明IPSec隧道发出去了4个报文，也收到了4个报文。

需要注意的是，第一种方法可以观察到指定IPSec隧道的报文变化；而第二种方法是全局性的统计信息，观察的是整个设备的IPSec隧道报文变化。如果设备同时存在多条隧道，则第二种方法就不太适用了，所以推荐使用第一种办法查看。

配置注意事项

MD5、SHA-1、DES和3DES算法存在安全隐患，请谨慎使用。

2、如果两端的IPSec安全提议中都使用SHA2算法时，如果设备之间能建立IPSec隧道，但设备之间的流量不通，则可能是两端设备的SHA2加密解密方式不一致导致设备之间的流量不通。此时，建议使两端设备使用相同的SHA2加密解密方式。

3、使用Ping方式检测连通性，需要在防火墙接口视图下执行命令service-manage ping permit将沿途所有防火墙接口的Ping服务设置为允许。

以上是华为路由器IPSec配置的操作步骤和注意事项。需要注意的是，IPSec配置涉及到网络安全，需要谨慎操作。