全部
经验案例
典型配置
技术公告
FAQ
漏洞说明

全部
是
否

全部
是
否

大数据引擎
知了引擎

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

高级搜索

问

IPSEC VPN组网互访问题

IPSec VPN

2025-07-24提问

0关注
0收藏，427浏览

zhiliao_AYBAn6 零段

粉丝：0人关注：0人

问题描述：

现在是这样的总部有固定IP 比如180.2.2.2 然后公司A 以及B公司通过IPSEC VPN野蛮模式与总部建立了连接总部内部IP是192.168.0的网段 A公司是1网段 B公司是2网段现在建立了VPN后总部可和公司可以互访（感兴趣流都添加了deny的内网IP）目前的问题是A公司和B公司不能互访请教大神这样要怎么操作才可以

最佳答案

zhiliao_东方老赢

zhiliao_东方老赢九段

粉丝：40人关注：3人

你的需求是啥、是要实现分支之间互访吗？

实现分支之间通过ipsec隧道互访、流量需要通过总部中转；

总部和分支都要添加对应的感兴趣流；

总部：

在总部路由器上，需在IPSec策略引用的ACL中明确允许分支间网段互访（示例见用户提供配置）：

acl advanced 3001
rule 10 deny ip source 172.16.1.0 0.0.0.255 destination 172.16.2.0 0.0.0.255 总部到分支A禁止直连（可选）
rule 15 deny ip source 172.16.1.0 0.0.0.255 destination 172.16.3.0 0.0.0.255 总部到分支B禁止直连（可选）
rule 30 permit ip source 172.16.2.0 0.0.0.255 destination 172.16.3.0 0.0.0.255 关键！允许分支A->分支B
rule 35 permit ip source 172.16.3.0 0.0.0.255 destination 172.16.2.0 0.0.0.255 关键！允许分支B->分支A

接口nat 要排除感兴趣流的网段；

分支A：

acl advanced 3000
rule 10 permit ip source 172.16.2.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 分支A->总部
rule 15 permit ip source 172.16.2.0 0.0.0.255 destination 172.16.3.0 0.0.0.255 分支A->分支B（实际经总部中转）

接口nat 要排除感兴趣流的网段；

分支B：

acl advanced 3000
rule 10 permit ip source 172.16.3.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 分支B->总部
rule 15 permit ip source 172.16.3.0 0.0.0.255 destination 172.16.2.0 0.0.0.255 分支B->分支A（实际经总部中转）

接口nat 要排除感兴趣流的网段；

回复zhiliao_东方老赢:

B公司 acl advanced 3002 description nat rule 5 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 rule 15 deny ip source 10.10.100.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 rule 20 deny ip source 192.168.40.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 rule 25 deny ip source 192.168.40.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 rule 30 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 rule 1000 permit ip

zhiliao_AYBAn6 发表时间：2025-07-24 更多>>

是的要实现分支互访就是总部和公支也好感兴趣流里前面deny了到然后要permit是吧？

zhiliao_AYBAn6 发表时间：2025-07-24

你的acl 调用在哪里的指的是、如果接口下的nat outbound 是这样的、先deny掉；感兴趣流的acl 是调用在ipsec policy 里的；

zhiliao_东方老赢发表时间：2025-07-24

不过我也是跟你这样一样写的ACL 但是不通哦

zhiliao_AYBAn6 发表时间：2025-07-24

你把配置贴出来；

zhiliao_东方老赢发表时间：2025-07-24

回复zhiliao_东方老赢:

总部的感兴趣流 acl number 3002 description NAT rule 10 deny ip source 192.168.0.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 counting rule 15 deny ip source 192.168.5.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 20 deny ip source 192.168.0.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 rule 25 deny ip source 192.168.0.0 0.0.0.255 destination 10.10.100.0 0.0.0.255 rule 30 deny ip source 192.168.0.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 rule 60 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 rule 65 permit ip source 192.168.40.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 rule 1000 permit ip source 192.168.0.0 0.0.0.255 counting rule 9999 deny ip A公司 acl advanced 3002 description nat rule 5 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 rule 15 deny ip source 10.10.100.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 rule 25 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 rule 30 permit ip source 192.168.40.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 rule 1000 permit ip B公司 acl advanced 3002 description nat rule 5 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 rule 15 deny ip source 10.10.100.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 rule 20 deny ip source 192.168.40.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 rule 25 deny ip source 192.168.40.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 rule 30 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 rule 1000 permit ip

zhiliao_AYBAn6 发表时间：2025-07-24

回复zhiliao_东方老赢:

总部的感兴趣流 acl number 3002 description NAT rule 10 deny ip source 192.168.0.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 counting rule 15 deny ip source 192.168.5.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 20 deny ip source 192.168.0.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 rule 25 deny ip source 192.168.0.0 0.0.0.255 destination 10.10.100.0 0.0.0.255 rule 30 deny ip source 192.168.0.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 rule 60 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 rule 65 permit ip source 192.168.40.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 rule 1000 permit ip source 192.168.0.0 0.0.0.255 counting rule 9999 deny ip

zhiliao_AYBAn6 发表时间：2025-07-24

回复zhiliao_东方老赢:

A公司 acl advanced 3002 description nat rule 5 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 rule 15 deny ip source 10.10.100.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 rule 25 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 rule 30 permit ip source 192.168.40.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 rule 1000 permit ip

zhiliao_AYBAn6 发表时间：2025-07-24

回复zhiliao_东方老赢:

B公司 acl advanced 3002 description nat rule 5 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 rule 15 deny ip source 10.10.100.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 rule 20 deny ip source 192.168.40.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 rule 25 deny ip source 192.168.40.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 rule 30 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.40.0 0.0.0.255 rule 1000 permit ip

zhiliao_AYBAn6 发表时间：2025-07-24

5 个回答

按时间按赞数

senc 五段

粉丝：2人关注：0人

感兴趣流为什么要deny，

NAT才要deny，可以再公网接口ipsec no-nat-process enable实现相同效果

回复zhiliao_AYBAn6:

先dis ike sa dis ipsec sa看下隧道起来没

senc 发表时间：2025-07-24 更多>>

是啊是NAT了才deny 使它走VPN隧道我这个是MSR的路由器的总部可以和分公司互访现在就是想A公司和B公司互访这个思路没解决

zhiliao_AYBAn6 发表时间：2025-07-24

回复zhiliao_AYBAn6:

先dis ike sa dis ipsec sa看下隧道起来没

senc 发表时间：2025-07-24

群心群逸七段

粉丝：5人关注：1人

ipsec是点对点建立vpn隧道的，你分部和总部建立，但是两个分部间应该没有建立隧道吧

是啊这样可以加什么配置实现吗

zhiliao_AYBAn6 发表时间：2025-07-24 更多>>

是啊这样可以加什么配置实现吗

zhiliao_AYBAn6 发表时间：2025-07-24

牛马网工当牛马

牛马网工当牛马四段

粉丝：0人关注：0人

你这种估计只能使用GRE OVER IPSEC去做通

zhiliao_AYBAn6 知了小白

粉丝：0人关注：0人

是这样的

这个是你写的呀、你是不是没理解、你的接口nat outboud 下调用的acl 和 ipsec policy 下 security acl 是同一个吗？你多去看看案例、

zhiliao_东方老赢发表时间：2025-07-24 更多>>

这个是你写的呀、你是不是没理解、你的接口nat outboud 下调用的acl 和 ipsec policy 下 security acl 是同一个吗？你多去看看案例、

zhiliao_东方老赢发表时间：2025-07-24

越ping越开心

越ping越开心五段

粉丝：4人关注：3人

搞那么复杂做什么，所有站点都下面这样配置

感兴趣流这样配置：

acl advanced 3001

rule 10 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255

rule 15 permit ip source 192.168.0.0 0.0.255.255 destination 10.0.0.0 0.255.255.255

rule 20 permit ip source 10.0.0.0 0.255.255.255 destination 192.168.0.0 0.0.255.255

NATACL这样配置：

acl advanced 3002

rule 10 deny ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255

rule 15 deny ip source 192.168.0.0 0.0.255.255 destination 10.0.0.0 0.255.255.255

rule 20 deny ip source 10.0.0.0 0.255.255.255 destination 192.168.0.0 0.0.255.255

rule 1000 permit ip

编辑答案

分享扩散:

➤

网站相关: 关于我们; 服务条款; 隐私政策; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2025新华三集团保留一切权利当前呈现版本 NO.1

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

举报

×

侵犯我的权益 >

对根叔社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

×

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

×

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

×

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

×

举报说明