ipsec的ike自动协商模式

ipsec的ike自动协商模式（MM隧道模式）

转发原理：
1.数据到达fw后，查询路由表，将数据送到g1/0/1，根据ipsec里的控制访问列表，匹配到兴趣流，激活接口绑定的ipsec
2.Ipsec隧道两端建立协商，分为两步：1.ike sa 的协商（1.ike proposal的确认，2.交换公钥，3.发送身份认证信息）2.ipsec sa （协商也是基于路由的基础上建立的）
3.协商完毕，隧道建立后，数据包备送到对端绑定ipsec的接口，查看ip头部是否匹配，然后对比psk是否一致，然后解密
4.解密后根据路由表送到接收方
报文的封装：

Ipsec就像一个安全框架，把业务报文包裹在里面，提高安全性和完整性，机密性
以及变向进行身份确认和重放攻击
Ipsec适用于点对点，为了提高机密性，不支持组播，所以不能用动态路由，且ipsec隧道需要流量激活才能建立，与gre不一样，gre是静态隧道
配置：（这里接口ip和安全区域不加以配置了）
Ike proposal 1（可以使用默认算法）
Ike peer ngfw2
Ike-proposal 1
Remort-add 202.1.1.1
Psk Huawei@123（两端一定要一致）

Acl 3000（匹配兴趣流）
Rule pemirt ip source 192.168.10.1 0 destination 192.168.20.1 0

Ipsec proposal 1（可以使用默认算法及模式）
Ipsec policy ipsec 1 isk
Security acl 3000
Proposal 1
Ike peer ngfw2

Int g1/0/1
Ipsec policy ipsec（应用到接口）
Ip route-static 192.168.20.0 24 101.1.1.254（配置引流路由）
Ip route-static 0.0.0.0 0 101.1.1.254（缺省路由）

排错时可查看ike的安全联盟是否建立以及会话表是否有udp控制报文和ESP的会话，udp和esp一定要是公网地址