AR路由器配置IKE方式的IPSecVPN
IPSec（I
ter
etProtocolSecurity）是IETF（I
ter
etE
gi
eeri
gTaskForce）制定的一组开放的网络安全协议，在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方I
ter
et上传输数据的安全性。在I
ter
et的传输中，绝大部分数据的内容都是明文传输的，这样就会存在很多潜在的危险，比如：密码、银行帐户的信息被窃取、篡改，用户的身份被冒充，遭受网络恶意攻击等。网络中部署IPSec后，可对传输的数据进行保护处理，降低信息泄漏的风险。采用默认配置通过IKE协商方式建立IPSec隧道示例组网需求如图1所示，RouterA为企业分支网关，RouterB为企业总部网关，分支与总部通过公网建立通信。分支子网为1011024，总部子网为1012024。企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信，可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。图1采用默认配置通过IKE协商方式建立IPSec隧道组网图
配置思路采用如下思路配置采用IKE协商方式建立IPSec隧道：
1配置接口的IP地址和到对端的静态路由，保证两端路由可达。2配置ACL，以定义需要IPSec保护的数据流。3配置IPSec安全提议，定义IPSec的保护方法。4配置IKE对等体，定义对等体间IKE协商时的属性。5配置安全策略，并引用ACL、IPSec安全提议和IKE对等体，确定对何种数据流采取何种保护方
法。6在接口上应用安全策略组，使接口具有IPSec的保护功能。操作步骤1分别在RouterA和RouterB上配置接口的IP地址和到对端的静态路由
在RouterA上配置接口的IP地址。HuaweisystemviewHuaweisys
ameRouterARouterAi
terfacegigabitether
et100RouterAGigabitEther
et100ipaddress20213816312552552550RouterAGigabitEther
et100quit
fRouterAi
terfacegigabitether
et200RouterAGigabitEther
et200ipaddress101112552552550RouterAGigabitEther
et200quit在RouterA上配置到对端的静态路由，此处假设到对端的下一跳地址为2021381632。RouterAiproutestatic202138162025525525502021381632RouterAiproutestatic1012025525525502021381632在RouterB上配置接口的IP地址。HuaweisystemviewHuaweisys
ameRouterBRouterBi
terfacegigabitether
et100RouterBGigabitEther
et100ipaddress20213816212552552550RouterBGigabitEther
et100quitRouterBi
terfacegigabitether
et200RouterBGigabitEther
et200ipaddress101212552552550RouterBGigabitEther
et200quit在RouterB上配置到对端的静态路由，此处假设到对端下一跳地址为r