前述

在IPSec通信中涉及到一個重要方面鞋喇，那就是如何定義要保護的數(shù)據(jù)流（也稱感興趣流)，因為這涉及到底要通過IPSec保護哪部分的數(shù)據(jù)流卧蜓。

保護數(shù)據(jù)流的定義方式

“感興趣流”就是指定哪些數(shù)據(jù)流要進入到IPSec隧道傳輸帐要，其他的數(shù)據(jù)流不能進入IPSec隧道傳輸。本篇博客主要針對基于ACL的感興趣流弥奸。目前各大主流云計算廠商的IPSEC VPN產品都是基于ACL的感興趣流榨惠。

我們知道，高級IPACL 可以基于源/目的IP地址,源/目的端口等信息對數(shù)據(jù)報文進行過濾盛霎，而這正可以用來對允許進入PSec隧道的數(shù)據(jù)流進行過濾赠橙。
當采用ACL方式來定義需要保護的數(shù)據(jù)流時，手工方式和IKE動態(tài)協(xié)商方式建立
的IPSec隧道是由高級IPACL來指定要保護的數(shù)據(jù)流范圍愤炸，篩選出需要進入IPSecl隧道的報文期揪。ACL規(guī)則允許(permit))的報文將被保護，ACL規(guī)則拒絕(deny)的報文將不被保護规个。因為這里的ACL是高級IPACL ,所以可以明確指定數(shù)據(jù)流中的源/目的IP地址,源/目的傳輸層端口,協(xié)議類型等參數(shù)凤薛。但這里的源/目的IP地址是指數(shù)據(jù)發(fā)送方和數(shù)據(jù)接收方主機的P地址姓建，通常是兩端內部網(wǎng)絡中的私網(wǎng)P地址。
這種基于ACL來定義數(shù)據(jù)流的方式的優(yōu)點是可以利用ACL配置的靈活性枉侧，根據(jù)IP地址,傳輸層端口,協(xié)議類型（如IP,ICMP,TCP,UDP等）等對報文進行過濾進而靈活制定PSec的保護方法引瀑。

我在此處找一個H3C的配置示例。

acl advanced 3000
 rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 10.20.0.0 0.0.0.255

H3C路由器完整配置示例

目前主流的云計算廠商的IPSEC VPN都是多租戶的榨馁，所以一個路由器上會有很多的IPSEC隧道憨栽，每個IPSEC VPN配置到vpn-instance中實現(xiàn)多租戶

acl advanced 3000
 rule 0 permit ip vpn-instance 6q0te0euvmr8yihr4e0cyr04e source 10.20.0.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
#
ipsec transform-set tran1
 esp encryption-algorithm des-cbc 
 esp authentication-algorithm sha1 
#
ipsec policy policy1 1 isakmp
 transform-set tran1 
 security acl 3000 
 local-address 10.111.61.78
 remote-address 10.111.61.86
 ike-profile profile1
#
ike profile profile1
 keychain keychain1
 match remote identity address 10.111.61.86 255.255.255.255
 inside-vpn vpn-instance 6q0te0euvmr8yihr4e0cyr04e
#
ike proposal 1
 encryption-algorithm 3des-cbc
 authentication-algorithm md5
#              
ike keychain keychain1
 pre-shared-key address 10.111.61.86 255.255.255.0 key cipher $c$3$2tFgZH5FQUG1giXr8YnByYRSQn2P/1bZug==

CISCO路由器配置示例

創(chuàng)建用戶vrf
vrf definition mapengcheng
 rd 200:200
 !
 address-family ipv4
 exit-address-family
!

創(chuàng)建預共享密鑰
crypto keyring keyring_mapengcheng  
  pre-shared-key address 10.111.60.25 key mapengcheng

創(chuàng)建isakmp-profile，調用預共享密鑰（一階段策略翼虫，加密算法和認證方式及密鑰強度通過isakmp policy匹配）
crypto isakmp profile isa_profile_mapengcheng
   vrf mapengcheng
   keyring keyring_mapengcheng
   match identity address 10.111.60.25 

創(chuàng)建二階段加密算法屑柔，隧道模式，認證方式
crypto ipsec transform-set mapengcheng esp-3des esp-md5-hmac 
 mode tunnel

創(chuàng)建ipsec的感興趣流
ip access-list extended acc_acl_mapengcheng
 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255

創(chuàng)建ipsec接口
crypto map cryto_map_common 6085 ipsec-isakmp 
 description tunnel_mapengcheng 
 set peer 10.111.60.66
 set transform-set mapengcheng 
 set isakmp-profile isa_profile_mapengcheng
 match address acc_acl_mapengcheng

公網(wǎng)出口調用ipsec接口策略
interface TenGigabitEthernet0/0/1
  crypto map cryto_map_common

將路由指向ipsec的公網(wǎng)接口
ip route vrf mapengcheng 192.168.1.0 255.255.255.0 10.111.60.26 name mapengcheng_test global