配置思路：

 

采用如下思路配置采用IKE协商方式建立IPSec隧道:

1.配置接口的IP地址和到对端的静态路由，保证两端路由可达。

2.配置ACL，以定义需要IPSec保护的数据流。

3.配置IPSec安全提议，定义IPSec的保护方法。

4.配置IKE对等体，定义对等体间IKE协商时的属性。

5.配置安全策略，并引用ACL、IPSec安全提议和IKE对等体，确定对何种数据流采用何种保护方法。

6.在接口，上应用安全策略组，使接口具有IPSec的保护功能。

操作步骤：

1.在R1和R2上配置地址和对端的静态路由；

# 在R1上配置接口地址

interface GigabitEthernet0/0/0

ip address 1.1.1.1 255.255.255.252

interface GigabitEthernet0/0/1

ip address 10.1.1.1 255.255.255.0

# 在 R1 上配置到对端的静态路由

ip route-static 2.2.2.0 255.255.255.252 1.1.1.2

ip route-static 10.1.2.0 255.255.255.0 1.1.1.2

# 在R2上配置接口地址

interface GigabitEthernet0/0/0

ip address 2.2.2.2 255.255.255.252

interface GigabitEthernet0/0/1

ip address 10.1.2.1 255.255.255.0

# 在 R2 上配置到对端的静态路由

ip route-static 1.1.1.0 255.255.255.252 2.2.2.1

ip route-static 10.1.1.0 255.255.255.0 2.2.2.1

2.分别在R1,R2 上配置ACL，定义各自要保护的数据流；

R1: 10.1.1.0 - 10.1.2.0

acl number 3000

rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

R2:10.1.2.0 - 10.1.1.0

acl number 3000

rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

3.分别在R1,R2 上创建IPSEC安全提议;

ipsec proposal tran1

encapsulation-mode tunnel

esp authentication-algorithm sha1

esp encryption-algorithm aes-128

4.在R1,R2上创建对等体，并根据默认配置，配置预共享密钥和对端ID;

R1

ike peer spua v1

pre-shared-key simple huawei

remote-address 2.2.2.2

R2

ike peer spua v1

pre-shared-key simple huawei

remote-address 1.1.1.1

5.分别在R1,R2上创建安全策略(动态协商）;

R1

ipsec policy map1 10 isakmp

security acl 3000

ike-peer spub

proposal tran1

R2

ipsec policy use1 10 isakmp

security acl 3000

ike-peer spub

proposal tran1

6.分别在R1,R2接口上引用安全策略组;

R1

interface GigabitEthernet0/0/0

ipsec policy map1

R2

interface GigabitEthernet0/0/0

ipsec policy use1

检查结果: