AR路由器配置IKE方式的IPSecVPN IPSec（InternetProtocolSecurity）是IETF(InternetEngineeringTaskForce）制定的一组开放的网络安全协议，在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性.在Internet的传输中,绝大部分数据的内容都是明文传输的，这样就会存在很多潜在的危险，比如:密码、银行帐户的信息被窃取、篡改，用户的身份被冒充，遭受网络恶意攻击等。网络中部署IPSec后，可对传输的数据进行保护处理，降低信息泄漏的风险。 采用默认配置通过IKE协商方式建立IPSec隧道示例 组网需求 如HYPERLINK”http://localhost：7890/pages/DZC1121G/04/DZC1121G/04/resources/dc/dc_cfg_ipsec_0045。html?ft=0＆fe=10＆hib=8。10。5。9.2&id=dc_cfg_ipsec_0045”\l”dc_cfg_ipsec_0045__fig_dc_cfg_ipsec_004501”图1所示,RouterA为企业分支网关，RouterB为企业总部网关,分支与总部通过公网建立通信.分支子网为10.1.1。0/24，总部子网为10.1。2.0/24。 企业希望对分支子网与总部子网之间相互访问的流量进行安全保护.分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。 图1采用默认配置通过IKE协商方式建立IPSec隧道组网图 配置思路 采用如下思路配置采用IKE协商方式建立IPSec隧道: 1。配置接口的IP地址和到对端的静态路由,保证两端路由可达。 2。配置ACL,以定义需要IPSec保护的数据流。 3。配置IPSec安全提议,定义IPSec的保护方法. 4.配置IKE对等体，定义对等体间IKE协商时的属性。 5。配置安全策略，并引用ACL、IPSec安全提议和IKE对等体，确定对何种数据流采取何种保护方法。 6.在接口上应用安全策略组，使接口具有IPSec的保护功能。 操作步骤 1.分别在RouterA和RouterB上配置接口的IP地址和到对端的静态路由 ＃在RouterA上配置接口的IP地址。 <Huawei〉system—view [Huawei]sysnameRouterA [RouterA］interfacegigabitethernet1/0/0 ［RouterA—GigabitEthernet1/0/0］ipaddress202.138.163。1255.255.255。0 ［RouterA—GigabitEthernet1/0/0]quit ［RouterA]interfacegigabitethernet2/0/0 ［RouterA-GigabitEthernet2/0/0］ipaddress10。1。1。1255.255.255.0 [RouterA—GigabitEthernet2/0/0]quit #在RouterA上配置到对端的静态路由，此处假设到对端的下一跳地址为202。138.163.2。 ［RouterA]iproute—static202。138。162。0255.255.255.0202.138。163.2 [RouterA］iproute—static10.1.2。0255.255。255。0202。138。163。2 ＃在RouterB上配置接口的IP地址。 <Huawei>system-view ［Huawei]sysnameRouterB [RouterB］interfacegigabitethernet1/0/0 ［RouterB—GigabitEthernet1/0/0]ipaddress202。138.162.1255。255。255.0 [RouterB—GigabitEthernet1/0/0］quit ［RouterB]interfacegigabitethernet2/0/0 [RouterB—GigabitEthernet2/0/0］ipaddress10。1.2.1255.255。255.0 [RouterB-GigabitEthernet2/0/0]quit ＃在RouterB上配置到对端的静态路由，此处假设到对端下一跳地址为202。138.162.2。 ［RouterB]iproute-static202。138.163.0255。255。255.0202.138。162。2 [RouterB]iproute—static10。1。1。0255。255。255。0202.138.162。2 2.分别在Route