当前位置：首页 > news >正文

【华为】IPSec VPN手动配置

news 2026/1/31 17:13:03

【华为】IPSec VPN手动配置

拓扑
配置
- ISP - 2
- AR1
- - NAT - Easy IP
  - IPSec VPN
- AR3
- - NAT
  - IPsec VPN
- PC
- 检验
配置文档
- AR1
- AR2

在这里插入图片描述

拓扑

在这里插入图片描述

配置

配置步骤
1、配置IP地址，ISP 路由器用 Lo0 模拟互联网
2、漳州和福州两个出口路由器配置默认路由指向ISP路由器
3、进行 IPsec VPN配置，让两个站点内网互通，同时数据加密

4、IPSec 手动配置步骤
在这里插入图片描述

ISP - 2

[Huawei]sysn ISP-2[ISP-2]undo info-center enable 
Info: Information center is disabled.[ISP-2]int g0/0/0
[ISP-2-GigabitEthernet0/0/0]ip address 202.101.12.2 30
[ISP-2-GigabitEthernet0/0/0]QU[ISP-2]INT g0/0/1[ISP-2-GigabitEthernet0/0/1]ip address 202.101.23.2 30
[ISP-2-GigabitEthernet0/0/1]qu[ISP-2]int LoopBack 0
[ISP-2-LoopBack0]ip address 1.1.1.1 32
[ISP-2-LoopBack0]qu

AR1

NAT - Easy IP

<Huawei>system-view
Enter system view, return user view with Ctrl+Z.[Huawei]sysname AR1[AR1]undo info-center enable
Info: Information center is disabled.[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip address 202.101.12.1 30
[AR1-GigabitEthernet0/0/0]qu[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip address 192.168.10.254 24
[AR1-GigabitEthernet0/0/1]qu## 高级ACL，要记得把IPSec VPN走得流量先deny掉，这样子VPN才能通信成功
[AR1]acl 3000
## deny掉我漳州分公司内部流量192.168.10.0/24 去往福州总公司192.168.20.0/24 的流量
[AR1-acl-adv-3000]rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255     
## 这个就是漳州公司需要上网的流量    
[AR1-acl-adv-3000]rule permit ip source 192.168.10.0 0.0.0.255 destination any 
[AR1-acl-adv-3000]qu## 作Easy IP进行上网
[AR1]int g0/0/0	
[AR1-GigabitEthernet0/0/0]nat outbound 3000
[AR1-GigabitEthernet0/0/0]qu## 配置默认路由指向ISP
[AR1]ip route-static 0.0.0.0 0.0.0.0 202.101.12.2

IPSec VPN

## 匹配上需要走VPN的流量
[AR1]acl number 3001  
[AR1-acl-adv-3001] rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 19
2.168.20.0 0.0.0.255  ## 规则5，匹配源为192.168.10.0/24 目的为192.168.20.0/24 的流量
[AR1-acl-adv-3001]quit[AR1]ipsec proposal zz    ## 创建IPSec 提议，名为“zz”
[AR1-ipsec-proposal-zz]esp authentication-algorithm md5 ## 认证算法采用md5（缺省）
[AR1-ipsec-proposal-zz]esp encryption-algorithm des 	## 加密算法采用des（缺省）
[AR1-ipsec-proposal-zz]encapsulation-mode tunnel        ## 传输方式为tunnel（缺省）
[AR1-ipsec-proposal-zz]quit[AR1]ipsec policy zhangzhou 1 manual                    ## 配置IPSec策略“zhangzhou”，方式为手动
[AR1-ipsec-policy-manual-zhangzhou-1]security acl 3001  ## 包含ACL 3001
[AR1-ipsec-policy-manual-zhangzhou-1]proposal zz        ## 关联IPSec提议“zz”  
[AR1-ipsec-policy-manual-zhangzhou-1]tunnel local 202.101.12.1 ## 配置隧道本端地址 202.101.12.1
[AR1-ipsec-policy-manual-zhangzhou-1]tunnel remote 202.101.23.1 ## 配置隧道对端地址 202.101.23.1
[AR1-ipsec-policy-manual-zhangzhou-1]sa spi inbound esp 12345   ## 配置入方向的SA编号为12345
[AR1-ipsec-policy-manual-zhangzhou-1]sa string-key inbound esp cipher baixi  ## 配置入方向SA的认证密钥为baixi
[AR1-ipsec-policy-manual-zhangzhou-1]sa spi outbound esp 54321   ## 配置出方向的SA编号为54321
[AR1-ipsec-policy-manual-zhangzhou-1]sa string-key outbound esp cipher baixi  ## 配置出方向的SA认证密钥为baixi## 在接口下应用IPsec策略“zhangzhou”
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ipsec policy zhangzhou
[AR1-GigabitEthernet0/0/0]qu

查看IPSec SA
display ipsec sa brief
在这里插入图片描述

AR3

NAT

<Huawei>sys
Enter system view, return user view with Ctrl+Z.[Huawei] sysname AR3[AR3] undo info-center enable
Info: Information center is disabled.[AR3]acl number 3000  
[AR3-acl-adv-3000] rule 5 deny ip source 192.168.20.0 0.0.0.255 destination 192.
168.10.0 0.0.0.255
[AR3-acl-adv-3000] rule 10 permit ip source 192.168.20.0 0.0.0.255 
[AR3-acl-adv-3000]#quit[AR3]interface GigabitEthernet0/0/0
[AR3-GigabitEthernet0/0/0] ip address 202.101.23.1 255.255.255.252 
[AR3-GigabitEthernet0/0/0] nat outbound 3000
[AR3-GigabitEthernet0/0/0]quit[AR3]interface GigabitEthernet0/0/1
[AR3-GigabitEthernet0/0/1] ip address 192.168.20.254 255.255.255.0 
[AR3-GigabitEthernet0/0/1]quit[AR3]ip route-static 0.0.0.0 0.0.0.0 202.101.23.2

IPsec VPN

[AR3]acl number 3001  
[AR3-acl-adv-3001] rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 19
2.168.10.0 0.0.0.255 
[AR3-acl-adv-3001]quit[AR3]ipsec proposal fz
[AR3-ipsec-proposal-fz] esp authentication-algorithm md5 
[AR3-ipsec-proposal-fz] esp encryption-algorithm des 	
[AR3-ipsec-proposal-fz] encapsulation-mode tunnel 
[AR3-ipsec-proposal-fz]quit[AR3]ipsec policy fuzhou 1 manual
[AR3-ipsec-policy-manual-fuzhou-1] security acl 3001
[AR3-ipsec-policy-manual-fuzhou-1] proposal fz
[AR3-ipsec-policy-manual-fuzhou-1] tunnel local 202.101.23.1
[AR3-ipsec-policy-manual-fuzhou-1] tunnel remote 202.101.12.1
[AR3-ipsec-policy-manual-fuzhou-1]sa spi inbound esp 54321
[AR3-ipsec-policy-manual-fuzhou-1]sa string-key inbound esp cipher baixi
[AR3-ipsec-policy-manual-fuzhou-1]sa spi outbound esp 12345
[AR3-ipsec-policy-manual-fuzhou-1]sa string-key outbound esp cipher baixi
[AR3-ipsec-policy-manual-fuzhou-1]qu[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ipsec policy fuzhou

查看AR3上的IPSec SA表
在这里插入图片描述

PC

在这里插入图片描述

检验

ping 成功啦
在这里插入图片描述
抓包查看
数据也全都进行ESP加密，成功

配置文档

AR1

#sysname AR1
#undo info-center enable
#
acl number 3000  rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255rule 10 permit ip source 192.168.10.0 0.0.0.255 
#
interface GigabitEthernet0/0/0ip address 202.101.12.1 255.255.255.252 nat outbound 3000ipsec policy zhangzhou
#
interface GigabitEthernet0/0/1ip address 192.168.10.254 255.255.255.0 
#
ip route-static 0.0.0.0 0.0.0.0 202.101.12.2
#
acl number 3001  rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.2
55 
#
ipsec proposal zzesp authentication-algorithm md5 esp encryption-algorithm des 	encapsulation-mode tunnel 
#
ipsec policy zhangzhou 1 manualsecurity acl 3001proposal zztunnel local 202.101.12.1tunnel remote 202.101.23.1sa spi inbound esp 12345sa string-key inbound esp cipher baixisa spi outbound esp 54321sa string-key outbound esp cipher baixi
#

AR2

#sysname AR3
#undo info-center enable
#
acl number 3000  rule 5 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255rule 10 permit ip source 192.168.20.0 0.0.0.255 
#
interface GigabitEthernet0/0/0ip address 202.101.23.1 255.255.255.252 nat outbound 3000ipsec policy fuzhou
#
interface GigabitEthernet0/0/1ip address 192.168.20.254 255.255.255.0 
#
ip route-static 0.0.0.0 0.0.0.0 202.101.23.2
#
acl number 3001  rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 
#
ipsec proposal fzesp authentication-algorithm md5 esp encryption-algorithm des 	encapsulation-mode tunnel 
#
ipsec policy fuzhou 1 manualsecurity acl 3001proposal fztunnel local 202.101.23.1tunnel remote 202.101.12.1sa spi inbound esp 54321sa string-key inbound esp cipher baixisa spi outbound esp 12345sa string-key outbound esp cipher baixi
#

【华为】IPSec VPN手动配置

【华为】IPSec VPN手动配置拓扑配置ISP - 2AR1NAT - Easy IPIPSec VPN AR3NATIPsec VPN PC检验配置文档AR1AR2 拓扑配置配置步骤 1、配置IP地址，ISP 路由器用 Lo0 模拟互联网 2、漳州和福州两个出口路由器配置默认路由指向ISP路由器 3、进行 IPsec VPN配置&…...

编程日记 2024/5/10 1:18:17

面试题分享之Java集合篇（三）

注意：文章若有错误的地方，欢迎评论区里面指正 🍭 系列文章目录面试题分享之Java基础篇（二）面试题分享之Java基础篇（三） 面试题分享之Java集合篇（一）、面试题分享之Ja…...

编程日记 2024/5/10 1:17:16

【python】模拟巴特沃斯滤波器

巴特沃斯滤波器（Butterworth Filter），以其设计者斯蒂芬巴特沃斯（Stephen Butterworth）的名字命名，是一种具有平滑频率响应的滤波器。这种滤波器在频域中具有非常平坦的无波纹响应，直到它达到截止…...

编程日记 2024/5/10 1:16:14

面试题：简述Go的垃圾回收机制

Go的GC(Garbage Collection, 垃圾回收)机制主要是用来自动释放不再被程序使用的内存，以防止内存泄漏。Go的垃圾回收是并发的，也就是说，它在主程序运行的同时进行垃圾回收。 1. 标记清除(Mark and Sweep) Go的垃圾回收器主要使用的是标记清除…...

编程日记 2024/5/10 1:15:13

Vue、React实现excel导出功能（三种实现方式保姆级讲解）

第一种：后端返回文件流，前端转换并导出（常用，通常公司都是用这种方式） 第二种：纯后端导出（需要了解） 第三种：纯前端导出（不建议使用，数据处理放…...

编程日记 2024/5/10 1:13:10

初识C语言——第十六天

C语言中的语句结构类型:顺序/选择/循环分支语句 if else switch 循环语句 while for do whlie goto语句代码练习:找两个整数的最大公约数和最小公倍数 #define _CRT_SECURE_NO_WARNINGS #include <stdio.h>//int main() //{ // int age 60; // if (ag…...

编程日记 2024/5/10 1:11:07

Vue的省份联动一、安装依赖库 npm install element-china-area-data -Snpm install element-ui --save全局使用elemntui组件库 import ElementUI from element-ui; import element-ui/lib/theme-chalk/index.css;Vue.use(ElementUI);二、代码如下 <template><div…...

编程日记 2024/5/10 1:09:05

element-ui skeleton 组件源码分享

今日简单分享 skeleton 骨架屏组件源码，主要从以下四个方面来讲解： 1、skeleton 组件的页面结构 2、skeleton 组件的属性 3、skeleton item 组件的属性 4、skeleton 组件的 slot 一、skeleton 组件的页面结构二、skeleton 组件的属性 2.1 animate…...

编程日记 2024/5/10 1:08:03

深度学习：基于TensorFlow、Keras，使用长短期记忆神经网络模型(LSTM)对Microsoft股票进行预测分析

前言系列专栏：机器学习：高级应用与实践【项目实战100】【2024】✨︎ 在本专栏中不仅包含一些适合初学者的最新机器学习项目，每个项目都处理一组不同的问题，包括监督和无监督学习、分类、回归和聚类，而且涉及创建深度学…...

编程日记 2024/5/10 1:06:01

【websocket-客户端可视化工具】

postman 新版postman (版本v11以上) ，除了http协议，还支持了Websocket，MQTT，gRPC等多种连接协议，可以作为多种协议的客户端，使用起来非常方便。使用服务端代码这里以websocket协议举例，代…...

编程日记 2024/5/10 1:05:00

STC8增强型单片机开发——C51版本Keil环境搭建

一、目标了解C51版本Keil开发环境的概念和用途掌握C51版本Keil环境的安装和配置方法熟悉C51版本Keil开发环境的使用二、准备工作 Windows 操作系统Keil C51 安装包（可以从Keil官网下载）一款8051单片机开发板三、搭建流程环境搭建的基本流程&#xf…...

编程日记 2024/5/10 1:03:59

Ansible——playbook编写

目录环境配置一、简介 1.什么是playbook 2.playbook组成二、应用实例 1.基础命令 1.编写 ceshi1.yaml 文件 2.运行Playbook 2.定义、引用变量 1.编写ceshi2.yaml文件 3.指定远程主机sudo切换用户 1.编写ceshi3.yaml文件 2.修改被控主机sudoers文件 3.给zhangsa…...

编程日记 2024/5/10 1:02:57

95、动态规划-编辑距离

递归暴力解法递归方法的基本思想是考虑最后一个字符的操作，然后根据这些操作递归处理子问题。递归函数定义：定义一个递归函数 minDistance(i, j)，表示将 word1 的前 i 个字符转换成 word2 的前 j 个字符所需的最小操作数。递归终止条件…...

编程日记 2024/5/10 1:00:55

linux调试

文章目录 1. 使用打印来调试1.1 重定向1.2 标准预定义宏1.3 日志代码 2. 内核异常2.1 内核打印2.1.1 打印级别2.1.2 跟踪异常2.1.3 动态打印2.1.4 RAM console 2.2 OOPS2.2.1 有源代码的情况2.2.2 没有源代码的情况 3 查看日志4 工具调试 1. 使用打印来调试 1.1 重定向 2>…...

编程日记 2024/5/10 0:58:52

【C++】string类的使用②（容量接口Capacity || 元素获取Element access）

🔥个人主页： Forcible Bug Maker 🔥专栏： STL || C 目录前言🔥容量接口（Capacity）size和lengthcapacitymax_sizereserveresizeclearemptyshrink_to_fit 🔥元素获取（Ele…...

编程日记 2024/5/10 0:57:51

【漏洞复现】某小日子太阳能系统DataCube3审计

漏洞描述某小日子太阳能系统DataCube3终端测量系统多个漏洞利用方式免责声明技术文章仅供参考，任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得利用网络从事危害国家安全、荣誉和利益，未经授权请勿利用文章中的技术资料对任何计算机系统进…...

编程日记 2024/5/10 0:56:50

探索Java的未来

目录一、云计算与大数据二、人工智能与机器学习三、物联网与边缘计算四、安全性与性能优化五、社区与生态 Java，作为一种广泛使用的编程语言，自其诞生以来就以其跨平台性、面向对象特性和丰富的库资源赢得了开发者的青睐。然而，随着…...

编程日记 2024/5/10 0:55:48

Web3 ETF软件开发

开发Web3 ETF软件涉及到金融、法律和技术等多个领域的专业知识，因此存在以下技术难点，开发Web3 ETF软件是一项复杂的技术挑战，需要综合考虑各种因素。开发人员需要具备较强的技术能力和跨学科知识才能成功开发Web3 ETF软件。北京木奇移动技术…...

编程日记 2024/5/10 0:54:47

初始MySQL

初始化MySQL数据库通常涉及以下步骤： 下载并安装MySQL： 你可以从MySQL官方网站下载适合你的操作系统的MySQL安装包。安装时，遵循安装向导的步骤，通常包括选择安装位置、选择组件（例如MySQL服务器、MySQL Workbench等&a…...

编程日记 2024/5/10 0:51:44

STM32项目下载清单（不定时更新）

收集的一些资料，分享下载电赛一等奖作品，老人健康监测智能手表（STM32F4主控） STM32数字示波器源码数字信号处理教程、配套实例基于stm32 nucleo_L476的智能灯（操作说明源码）基于STM32 NUCLEO板设计彩色LE…...

编程日记 2024/5/10 0:50:42

7.4.分块查找

一.分块查找的算法思想： 1.实例： 以上述图片的顺序表为例， 该顺序表的数据元素从整体来看是乱序的，但如果把这些数据元素分成一块一块的小区间， 第一个区间[0,1]索引上的数据元素都是小于等于10的， 第二…...

编程新知 2026/1/27 18:11:42

DeepSeek 赋能智慧能源：微电网优化调度的智能革新路径

目录一、智慧能源微电网优化调度概述1.1 智慧能源微电网概念1.2 优化调度的重要性1.3 目前面临的挑战二、DeepSeek 技术探秘2.1 DeepSeek 技术原理2.2 DeepSeek 独特优势2.3 DeepSeek 在 AI 领域地位三、DeepSeek 在微电网优化调度中的应用剖析3.1 数据处理与分析3.2 预测与…...

编程新知 2025/11/20 2:48:44

[ICLR 2022]How Much Can CLIP Benefit Vision-and-Language Tasks?

论文网址：pdf 英文是纯手打的！论文原文的summarizing and paraphrasing。可能会出现难以避免的拼写错误和语法错误，若有发现欢迎评论指正！文章偏向于笔记，谨慎食用目录 1. 心得 2. 论文逐段精读 2.1. Abstract 2…...

编程新知 2026/1/26 14:21:58

WordPress插件：AI多语言写作与智能配图、免费AI模型、SEO文章生成

厌倦手动写WordPress文章？AI自动生成，效率提升10倍！ 支持多语言、自动配图、定时发布，让内容创作更轻松！ AI内容生成 → 不想每天写文章？AI一键生成高质量内容！多语言支持 → 跨境电商必备&am…...

编程新知 2026/1/30 17:24:20

Spring Boot+Neo4j知识图谱实战：3步搭建智能关系网络！

一、引言在数据驱动的背景下，知识图谱凭借其高效的信息组织能力，正逐步成为各行业应用的关键技术。本文聚焦 Spring Boot与Neo4j图数据库的技术结合，探讨知识图谱开发的实现细节，帮助读者掌握该技术栈在实际项目中的落地方法。 …...

编程新知 2025/9/17 21:39:04

k8s业务程序联调工具-KtConnect

概述原理工具作用是建立了一个从本地到集群的单向VPN，根据VPN原理，打通两个内网必然需要借助一个公共中继节点，ktconnect工具巧妙的利用k8s原生的portforward能力，简化了建立连接的过程，apiserver间接起到了中继节…...

编程新知 2026/1/30 13:45:30

MySQL用户和授权

开放MySQL白名单可以通过iptables-save命令确认对应客户端ip是否可以访问MySQL服务： test: # iptables-save | grep 3306 -A mp_srv_whitelist -s 172.16.14.102/32 -p tcp -m tcp --dport 3306 -j ACCEPT -A mp_srv_whitelist -s 172.16.4.16/32 -p tcp -m tcp -…...

编程新知 2025/8/25 19:12:45