手把手教你，工业路由器与H3C企业级防火墙构建IPsec VPN操作指南

发布一下 2022年12月14日 02:11 0 0

一、网络拓扑

在防火墙与ORC305之间建立一个安全隧道，对客户路由器端设备子网（192. 1146 168. 994 2. 78 0/24），与防火墙端服务器子网（172. 772 16. 865 99. 1065 0/24）之间的 335 数据流进行安全保护。安全协议采用ESP，加密算法采用3DES，认证算法采用MD5，组网拓扑图如图所示。

二、H3C SECPATH U200-A端配置指导

(此处以多数客户使用专线上网形式为例)

1、前提准备工作配置IPSec VPN时应保证该通过该设备已经可以正常上网，WAN，LAN，NAT等正常工作，如下图GigabitEthernet 0/1为WAN公网IP X. 1518 X. 1409 X. 254 242, 1126 GigabitEthernet 0/4为LAN，IP为172. 1120 x. 791 x. 163 x/24

Interface所属安全域

2、感兴趣流的 1523 ACL添加以及配置在设备中存在ACL3000和3004，该ACL是 214 被NAT所调用，我 1507 们需要创建一条现场为192. 821 168. 733 2. 1390 0/24（目的 1512 网络）网段与H3C内外网段172. 609 22. 1321 12. 352 0/24（源网络）的 197 ACL进行配置，如下新建ALC3010。以源网络到目的 713 网络的 1493 IP数据流为感兴趣流。防火墙-ACL-新建

防火墙-ACL-新建-3010

防火墙-ACL-3010-操作

防火墙-ACL-3010-操作-新建：在ALC 3010中添加规则ID 100，匹配（permit）源网络至目的 1456 网络的 21 的 257 数据流，源网络为H3C其中的 981 一个LAN172. 453 22. 115 12. 643 0/24，目的 206 网络为现场LAN 192. 77 168. 1400 2. 435 0/24。

3、在原有配置的 99 NAT中排感兴趣流防火墙-ACL-3000-操作-新建：新建一个ID号小于1000和2000的 1124 ID例如100，阻止（deny），感兴趣流通过NAT。

防火墙-ACL-3004-操作-新建：新建一个ID号小于1000和2000的 452 ID例如100，阻止（deny），感兴趣流通过NAT。

4、创建IKE 4. 1595 1 VPN-IKE-对等体-新建

对等体名称：test-1（自定义）协商模式：Aggressive（主动模式或野蛮模式）对端网关-主机名：test1对端ID：test1（FQDN，由于现场路由器拨号获得的 1604 是 385 动态私网IP，所以使用FQDN来进行对每个对等体进行识别，每次新建ID不可以重复）启用DPD功能：打钩选择下面配置的 1237 DPD策略号10启用NAT穿越：打勾预共享秘钥：abc123（自定义）

4. 653 2 VPN-IKE-安全提议-新建IKE安全提议号10认证方法：Preshared Key认证算法：MD5加密算法：3DES-CBC DH组：Group2 SA生存周期：86400秒（下图只是 1508 例图）

4. 51 3 VPN-IKE-DPD（DPD Dead Peer Detection）VPN-IKE-DPD新建DPD名称：10触发DPD时间间隔：60s等待DPD现有报文时：60s（下图只是 847 例图）

5、IPSec 5. 1259 1 IPSec安全提议IPSec安全提议名：10报文封装模式：tunnel ESP认证算法：MD5 ESP加密算法：3des

5. 1202 2创建IPSec模板配置模板名称：test-1（自定义）IKE对等体：test-1（之前已经定义的 1229 IKE）安全提议：10 PFS：“选择空”（与截图不符注意）ACL：3010

5. 587 3调用IPSec模板配置IPSec-应用-G0/1-操作调用策略：test-1

6、Policy防火墙-安全策略-域间策略-新建：源域：untunst目的 1139 域：trust策略规则：10源IP：192. 1608 168. 216 2. 1307 0 0. 1482 0. 1314 0. 1050 255（与图中不符注意）目的 777 IP：172. 1145 22. 1090 12. 1105 0 0. 145 0. 1031 0. 1023 0255（与图中不符注意）