(二)先配置总部EG的IPSec
1、登录总部EG的Web页面,选择:出口路由器>配置>VPN管理>IPsec设置>IPSec安全策略>+添加

2、在跳出的页面中:选择策略类型为服务端>联网方式>策略名称>绑定接口>IKE版本>填写本端子网范围>输入预共享密钥>确定

注解:
① 策略名称:设置IPSec安全策略的名称,1~28个字符
② 联网方式:选择两端通信的方式,包括IPv4和IPv6。IPv6联网前置条件:设备需先开启IPv6功能; 总部和分支都采用EG设备且外网口可以获取到IPv6地址。
③ 绑定接口:从下拉列表中指定本地使用的WAN口,推荐设置为“自动”
④ IKE版本:设定用于协商SA的IKE策略版本
⑤ 子网范围:设置受保护的数据流的本地子网范围,即服务器端的LAN口网段,由IP地址和子网掩码 来确定,点击<**本地网段**>可以设置多个子网范围
⑥ 预共享密钥:通信双方必须指定相同的预共享密钥作为它们之间相互认证的凭证
⑦ 状态:是否启用该安全策略(默认开启)
⑧ 阶段一和阶段二设置:如果客户端也是EG设备对接的话,默认不用配置;如果是跟锐捷其他型号的路由器或者友商进行对接,只需要参数保持两端一致即可
3、配置完成

(三)再配置分部EG的IPSec
1、登录分部EG的Web页面,选择:出口路由器>配置>VPN管理>IPsec设置>IPSec安全策略>+添加

2、在跳出的页面中:选择策略类型为服务端>联网方式>策略名称>对端网关>IKE版本>填写本端子网范围和对端子网范围>输入预共享密钥>确定

注解:
① 策略名称:设置IPSec安全策略的名称,1~28个字符
② 联网方式:选择两端通信的方式,包括IPv4和IPv6。IPv6联网前置条件:设备需先开启IPv6功能; 总部和分支都采用EG设备且外网口可以获取到IPv6地址。
③ 对端网关:填写对端的IP地址或域名
④ 绑定接口:从下拉列表中指定本地使用的WAN口,推荐设置为“自动”
⑤ IKE版本:设定用于协商SA的IKE策略版本
⑥ 子网范围:设置受保护的数据流的本地子网范围和对端子网范围,即服务器端的LAN口网段和客户端的LAN口网段,由IP地址和子网掩码来确定,点击<**添加按钮**>可以添加多个子网范围
⑦ 预共享密钥:通信双方必须指定相同的预共享密钥作为它们之间相互认证的凭证
⑧ 状态:是否启用该安全策略(默认开启)
⑨ 阶段一和阶段二设置:如果服务端也是EG设备对接的话,默认不用配置;如果是跟锐捷其他型号的路由器或者友商进行对接,只需要参数保持两端一致即可
3、配置完成

四、效果验证
1、在IPSec连接状态,可以看到当前总分部连接的情况


2、用两端需要互访的电脑进行互ping测试,能够ping通代表建立是成功的。