华为路由器：配置分支机构与总部之间通过IPSec Over GRE方式实现安全互通的示例

华为路由器：配置分支机构与总部之间通过IPSec Over GRE方式实现安全互通的示例
规格
适用于V200R005C10及更高版本、所有形态的路由器。
组网需求
如图所示，Router_1为公司分支网关，Router_2为公司总部网关，分支与总部通过公网建立通信。
原公司分支与总部通过GRE隧道实现私网互通，现要求对分支与总部之间相互访问的流量（不包括组播数据）进行安全保护。因此，可基于虚拟隧道接口方式建立IPSec over GRE，对分支和总部互通的流量进行保护。
IPSec Over GRE组网

操作步骤
配置Router_1
    #
     sysname Router_1
    #
ipsec proposal tran1  //配置安全提议
     esp authentication-algorithm sha2-256
     esp encryption-algorithm aes-128
    #
ike proposal 5  //配置IKE提议
     encryption-algorithm aes-cbc-128
     authentication-algorithm sha2-256
    #
ike peer spub v2 

//配置IKE对等体及其使用的协议时，不同的软件版本间的配置有差异：V200R008之前的版本命令为ike peer peer-name [ v1 | v2 ]；V200R008及之后的版本命令为ike peer peer-name和version { 1 | 2 }，缺省情况下，对等体IKEv1和IKEv2版本同时启用。设备发起协商时会使用IKEv2协议，响应协商时则同时支持IKEv1协议和IKEv2协议。如果设备需要使用IKEv1协议，则可以执行命令undo version 2
     pre-shared-key cipher zh-cjh.local:2222

//配置预共享密钥认证字为“zh-cjh.local:2222”，以密文显示，该命令在V2R3C00以前的版本中为“pre-shared-key zh-cjh.local:2222”，以明文显示

    ike-proposal 5
    #
ipsec profile profile1  //配置安全框架
     ike-peer spub
     proposal tran1
    #
interface Tunnel0/0/0  //配置GRE Tunnel接口
     ip address 192.168.1.1 255.255.255.0
     tunnel-protocol gre
     source 202.138.163.1
     destination 202.138.162.1
    #
    interface Tunnel0/0/1  //配置IPSec Tunnel接口
     ip address 192.168.2.1 255.255.255.0
     tunnel-protocol ipsec
     source Tunnel0/0/0  //指定Tunnel源接口为GRE Tunnel接口
     destination 192.168.1.2  //指定Tunnel的目的地址为GRE Tunnel地址
     ipsec profile profile1  //应用置安全框架
    #
    interface GigabitEthernet1/0/0
     ip address 202.138.163.1 255.255.255.0
    #
    interface GigabitEthernet2/0/0
     ip address 10.1.1.1 255.255.255.0
    #
    ip route-static 10.1.2.0 255.255.255.0 tunnel0/0/1  //配置静态路由
    ip route-static 202.138.162.0 255.255.255.0 202.138.163.2  //配置静态路由
    #
    return

配置Router_2
    #
     sysname Router_2
    #
    ipsec proposal tran1  //配置安全提议
     esp authentication-algorithm sha2-256
     esp encryption-algorithm aes-128
    #
    ike proposal 5  //配置IKE提议
     encryption-algorithm aes-cbc-128   //V200R008及之后的版本，aes-cbc-128参数修改为aes-128
     authentication-algorithm sha2-256
    #
    ike peer spua v2 

//配置IKE对等体及其使用的协议时，不同的软件版本间的配置有差异：V200R008之前的版本命令为ike peer peer-name [ v1 | v2 ]；V200R008及之后的版本命令为ike peer peer-name和version { 1 | 2 }，缺省情况下，对等体IKEv1和IKEv2版本同时启用。设备发起协商时会使用IKEv2协议，响应协商时则同时支持IKEv1协议和IKEv2协议。如果设备需要使用IKEv1协议，则可以执行命令undo version 2
     pre-shared-key cipher zh-cjh.local:2222

 //配置预共享密钥认证字为“zh-cjh.local:2222”，以密文显示，该命令在V2R3C00以前的版本中为“pre-shared-key zh-cjh.local:2222”，以明文显示
     ike-proposal 5
    #
    ipsec profile profile1  //配置安全框架
     ike-peer spua
     proposal tran1
    #
    interface Tunnel0/0/0  //配置GRE Tunnel接口
     ip address 192.168.1.2 255.255.255.0
     tunnel-protocol gre
     source 202.138.163.2
     destination 202.138.163.1
    #
    interface Tunnel0/0/1  //配置IPSec Tunnel接口
     ip address 192.168.2.2 255.255.255.0
     tunnel-protocol ipsec
     source Tunnel0/0/0  //指定Tunnel源接口为GRE Tunnel接口
     destination 192.168.1.1  //指定Tunnel的目的地址为GRE Tunnel地址
     ipsec profile profile1  //应用置安全框架
    #
    interface GigabitEthernet1/0/0
     ip address 202.138.162.1 255.255.255.0
    #
    interface GigabitEthernet2/0/0
     ip address 10.1.2.1 255.255.255.0
    #
    ip route-static 10.1.1.0 255.255.255.0 tunnel0/0/1  //配置静态路由
    ip route-static 202.138.163.0 255.255.255.0 202.138.162.2  //配置静态路由
    #
    return

验证配置结果
    # 在Router上执行命令display ike sa可以查看到安全联盟建立成功，其中Flag(s)字段为RD表示SA已建立成功；Phase字段可以看到1和2两个阶段。
    # PC_1和PC_2可以相互Ping通。

配置注意事项
配置IPSec Tunnel接口，将IPSec Tunnel的源接口配置为GRE Tunnel接口；且IPSec Tunnel的目的地址的路由必须从GRE Tunnel接口出去。