本文基于H3C官方IPsec白皮书指导本人实操搭建，转载需标出处违法必究

1. IPsec（IP Security，IP 安全）是 IETF 制定的三层隧道加密协议，IPsec 协议工作在 IP 层，可以为 IP 网络提供透明的安全服务。IPsec 通过在特定通信方之间（例如两个安全网关之间）建立“通道”， 来保护通信方之间传输的用户数据，该通道通常称为 IPsec 隧道。
2. IPsec 具有如下技术优点： • 数据机密性（Confidentiality）：发送方通过网络传输报文前，IPsec 对报文进行加密，保证数 据的机密性，防止数据被恶意窃听。 • 数据完整性（Data Integrity）：接收方对收到的 IPsec 报文的 Hash 值进行检查，从而判断数 据在传输过程中是否被篡改。 • 数据来源认证（Data Origin Authentication）：接收方对收到的 IPsec 报文的数字签名进行认 证，从而判断报文来源的真实性。 • 所有基于 IP 协议进行传输的数据都可以使用 IPsec 进行保护，而不需要对原始报文进行任何 修改。 • IPsec 借助 IKE 协议，可实现密钥的自动协商，简化了 IPsec 的配置。 • IPsec 对数据的加密以数据包为单位，支持抗重放功能，可以有效防范网络攻击。
3. IPsec 包括如下基本概念：安全联盟、安全协议、安全机制、封装模式。
4. IKE 协议版本 1. IKEv1 IKEv1（Internet Key Exchange Version 1，互联网密钥交换协议第 1 版）协议利用 ISAKMP（Internet Security Association and Key Management Protocol，互联网安全联盟和密钥管理协议）语言定义 密钥交换的过程，是一种对安全服务进行协商的手段。 2. IKEv2 IKEv2（Internet Key Exchange Version 2，互联网密钥交换协议第 2 版）是第 1 版本的 IKE 协议 （本文简称 IKEv1）的增强版本。IKEv2 与 IKEv1 相同，具有一套自保护机制，可以在不安全的网 络上安全地进行身份认证、密钥分发、建立 IPsec SA。 3. IKEv2 和 IKEv1 的区别 相对于 IKEv1，IKEv2 需要交互的报文数量较少，且 IKEv2 具有更强的抗攻击能力和密钥交换能力。
5. IKEv1 使用了两个阶段为 IPsec 进行密钥协商以及建立 SA： (1) 第一阶段，通信双方彼此间建立了一个已通过双方身份认证和对通信数据安全保护的通道， 即建立一个 IKEv1 SA（本文中提到的 IKEv1 SA 都是指第一阶段 SA）。 (2) 第二阶段，用在第一阶段建立的IKEv1 SA为IPsec协商安全服务，即为IPsec协商IPsec SA， 建立用于最终的 IP 数据安全传输的 IPsec SA。
6. 第一阶段的 IKEv1 协商模式包括如下三种方式： • 主模式（Main Mode） • 野蛮模式（Aggressive Mode） • 国密主模式（GM-Main Mode）

1.本文基于H3C SOHO ER系列中小型路由器搭建

基于本地IP的Hub与多个Spoke

实际上官方这个是按了一个坑等你踩

这个是官方写的Spoke的IPsecVPN Ike协议的写法

但是我们很多公司的Spoke都是根据拨号获得pppoe server给的IP地址也就是这个IP地址是被NAT转换且需要经过pppoe server的转换，官方提供的Spoke都是主模式

最后官方让你使用静态IP协议连接

这下你会一脸懵逼的发现转发包是成功了，但是也被抛弃了。因为你使用主模式意味着是直接转发给了pppoe service到达不了你的路由 但是如果你仔细读读IKE对等体里面的模式方法就会发现官方这个坑根本不考虑中间转发的问题 所以这个时候Hub的IKE对等体你需要改成野蛮模式来反向穿透，Spoke也是最后如下。

Hub的IKE配置如下

Spoke的IKE配置如下

同时记得在静态路由里面写Spoke之间的路由表，Spoke也要写返回主路由的路由表

同理MSR系列也是如此，但是写命令太麻烦了下次补把！