eNSP 环境准备
-
拓扑搭建
- 拖入设备:2 台路由器(如 AR2220)作为 VPN 网关,2 台 PC 模拟内网终端。
- 连接方式:
- 路由器之间用
串口或以太网模拟公网(如GE 0/0/0)。 - 路由器与 PC 用
以太网模拟内网(如GE 0/0/1)。
- 路由器之间用
-
IP 地址规划
- 公网接口(模拟互联网):
- R1:
1.1.1/24 - R2:
1.1.2/24
- R1:
- 内网接口:
- R1:
168.1.1/24(PC1:168.1.2/24) - R2:
168.2.1/24(PC2:168.2.2/24)
- R1:
- 公网接口(模拟互联网):
IPSec VPN 配置(站点到站点)
配置 IKE 阶段 1(建立安全通道)
在 R1 和 R2 上执行:
encryption-algorithm aes-cbc-256 dh group14 authentication-algorithm sha2-256 authentication-method pre-share # 配置预共享密钥 ike peer R2 pre-shared-key Huawei@123 remote-address 12.1.1.2 ike-proposal 10 # 配置 ACL 定义需要加密的流量 acl number 3000 rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
配置 IPSec 阶段 2(数据加密)
# 定义 IPSec 安全提议 ipsec proposal VPN esp authentication-algorithm sha2-256 esp encryption-algorithm aes-256 # 配置 IPSec 策略 ipsec policy POLICY 10 isakmp security acl 3000 ike-peer R2 proposal VPN
应用 IPSec 到公网接口
interface GigabitEthernet 0/0/0 ipsec policy POLICY
验证
- 在 PC1 上 ping PC2 (
168.2.2),观察是否通。 - 在路由器上查看 IPSec SA:
display ipsec sa
GRE Over IPSec 配置(封装隧道)
配置 GRE 隧道
在 R1 和 R2 上:
# 创建 Tunnel 接口 interface Tunnel 0/0/0 tunnel-protocol gre source 12.1.1.1 # 本地公网 IP destination 12.1.1.2 # 对端公网 IP ip address 10.1.1.1 255.255.255.0 # 隧道虚拟 IP # 配置路由指向隧道 ip route-static 192.168.2.0 255.255.255.0 Tunnel 0/0/0
配置 IPSec 保护 GRE 流量
# 定义 ACL 匹配 GRE 流量(协议号 47) acl number 3100 rule permit gre source 12.1.1.1 destination 12.1.1.2 # 应用 IPSec 策略(同 IPSec VPN 配置) ipsec policy GRE-POLICY 10 isakmp security acl 3100 ike-peer R2 proposal VPN interface GigabitEthernet 0/0/0 ipsec policy GRE-POLICY
验证
- 检查隧道状态:
display interface Tunnel 0/0/0
- 测试端到端通信。
常见问题排查
-
VPN 无法建立
- 检查
ike peer的remote-address是否配置正确。 - 确认 ACL 规则匹配流量(尤其是 GRE 的协议号 47)。
- 使用
debugging命令(需谨慎):debugging ike all debugging ipsec all
- 检查
-
PC 无法通信
- 确保内网路由正确(静态路由或默认网关)。
- 关闭防火墙测试:
firewall packet-filter default deny all # 临时关闭
扩展建议
- 抓包分析:在 eNSP 中使用 Wireshark 捕获公网接口流量,观察 ESP/GRE 封装。
- NAT 穿越:如果模拟环境存在 NAT 设备,需配置
ike peer的nat traversal。
通过上述步骤,你可以在 eNSP 中完整模拟企业级 VPN 场景,如需更复杂的场景(如 SSL VPN 或 BGP Over IPSec),可进一步研究相关协议配置。


