以下是针对华三（H3C）与华为（Huawei）设备配置IPsec VPN的详细说明，涵盖配置流程、参数设置及常见问题处理：

---

一、华三（H3C）设备IPsec VPN配置详解

1. 配置流程

华三IPsec VPN配置主要分为两个阶段：IKE SA协商（阶段一）和IPsec SA协商（阶段二），需结合策略模板或静态策略实现126。

• 阶段一（IKE SA）：

  • 配置IKE安全提议：定义加密算法（如3DES、AES）、认证算法（如SHA-256）、DH组（如group5）等参数。

  • 配置IKE对等体：设置预共享密钥（PSK）及对端身份（如IP地址或FQDN）。

  • 配置IKE Profile：关联安全提议与对等体，动态地址接入需启用野蛮模式（aggressive）26。

• 阶段二（IPsec SA）：

  • 定义IPsec转换集：选择封装模式（隧道模式）、ESP加密算法和认证算法。

  • 配置ACL定义流量：匹配需加密的源/目的子网（如rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255）。

  • 策略模板或静态策略：动态接入端需创建策略模板，并关联ACL、转换集和IKE Profile24。

2. 动态地址接入配置要点

当分支网关为动态IP时，华三需启用野蛮模式，并通过FQDN或域名标识对端，配合策略模板实现动态协商26：

plaintext

复制

下载

ike profile 1exchange-mode aggressive      # 启用野蛮模式match remote identity fqdn R3 # 对端标识为FQDN

3. NAT穿越处理

华三防火墙优先处理VPN流量，NAT规则需避免冲突：

• ACL精准匹配：配置NAT规则时，需排除VPN流量（如rule deny ip source 192.168.0.0/16 destination 10.0.0.0/24）13。

• 接口调用顺序：在出口接口同时应用VPN策略和NAT规则，无需额外调整优先级1。

---

二、华为（Huawei）设备IPsec VPN配置详解

1. 基础配置流程

华为配置逻辑与华三类似，但需注意协议兼容性357：

• IKE提议：需与对端一致（如IKEv1主模式、DH group2、SHA1认证）。

• IPsec提议：定义ESP加密算法（如AES-CBC-128）、认证算法（如HMAC-MD5）。

• 安全策略：创建入站/出站策略，引用ACL和IPsec提议。

2. 动态策略模板配置

华为支持策略模板方式对接动态地址分支：

plaintext

复制

下载

ipsec policy-template dx 1000      # 创建模板security acl 3004                # 引用ACLike-peer to-branch               # 关联IKE对等体proposal to-branch               # 引用IPsec提议

3. 与华三设备对接注意事项

• 参数匹配：确保IKE版本、加密算法、DH组、预共享密钥一致。

• NAT穿透：华为需启用NAT-T（nat traversal enable），并在出口设备映射UDP 500/4500端口37。

• 路由配置：添加静态路由指向对端内网（如ip route-static 192.168.10.0 255.255.255.0 202.101.12.1）8。

---

三、常见问题与解决方法

1. VPN隧道无法建立：

   • 检查IKE SA状态：display ike sa。

   • 确认ACL规则是否匹配流量，并排除NAT干扰13。

   • 日志分析：查看协商失败原因（如PSK不匹配、协议版本冲突）7。

2. NAT环境下流量不通：

   • 确保NAT设备放行UDP 500/4500端口。

   • 华三需配置ACL拒绝VPN流量被NAT转换13。

3. 动态地址接入失败：

   • 确认野蛮模式启用，且对端身份标识（FQDN）正确26。

   • 华为分支需主动发起协商，总部配置策略模板57。

---

四、配置示例

华三与华为对接配置片段

华三端（动态分支）：

plaintext

复制

下载

ike proposal 1encryption-algorithm aes-cbc-128authentication-algorithm sha1dh group2
ike keychain 1pre-shared-key hostname huawei key simple 123456
ipsec policy-template temp 1ike-profile 1transform-set mysetsecurity acl 3000

华为端（固定总部）：

plaintext

复制

下载

ike peer h3cpre-shared-key 123456ike-proposal 1remote-address 122.XX.XX.248
ipsec policy h3c 1 isakmpsecurity acl 3000ike-peer h3cproposal h3c