• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

msr3610x1组ipsec如何转发对端数据到本地nat

3天前提问
  • 0关注
  • 1收藏,87浏览
kingforsu
kingforsu 零段
粉丝:0人 关注:0人

问题描述:

A地(固定公网ip)msr3610-xs路由器与B地(pppoe拨号)msr3610-x1通过ipsec 野蛮模式组成vpn,由于运营商限制,A地很多端口被封闭,导致一些业务在A地无法运行,但B地运营商无限制。如何才能让A地某些IP的所有数据均通过ipsec发送到B地,通过B地的运营商进行转发,回包如何能让B地路由器再转发到A地?尝试在B地建立了一条到A地的感兴趣路由,想将这部分ip的数据拉回到B地,同时A地wan口阻止这些地址的数据通过。但A地配置这些ip的电脑网卡直接显示无法连接互联网。且所有网络数据都不通,似乎这种设计不可行,之前求助有大神提议用gre,但是本人对gre设置和原理完全小白, 不知道野蛮模式下能不能正常使用gre,还有人提议在路由器上做Tunnel接口,然后直接做路由就行,但是也不知道我这种网络环境是否支持,求大神讲解并帮忙设计一个现实可行且安全稳定的方法。跪拜了!

 

3 个回答
按时间 按赞数
zhiliao_Gixe
zhiliao_Gixe 三段
粉丝:2人 关注:9人

在B地MSR3610-X1上配置策略路由,将来自IPSec隧道(对端为A地)的流量进行NAT转换后从B地出接口转发。

关键配置步骤:

1. B地路由器NAT配置:
nat address-group 1
address 192.168.2.100 192.168.2.100 # B地公网IP或接口IP
interface GigabitEthernet0/1 # B地出接口
nat outbound 3000
acl advanced 3000
rule 0 permit ip source 10.1.1.0 0.0.0.255 # A地内网网段

2. B地路由器策略路由(用于回包):
policy-based-route TO-A permit node 10
if-match acl 3000
apply next-hop 隧道对端地址 # 指向IPSec隧道对端(A地)地址
interface Tunnel0 # IPSec隧道接口
ip policy-based-route TO-A

3. A地路由器路由配置:
ip route-static 0.0.0.0 0.0.0.0 Tunnel0 # 默认路由指向隧道

ip route-static 目标业务网段 掩码 Tunnel0 # 特定流量指向隧道

补充说明:
- 确保IPSec隧道配置正确,野蛮模式需匹配对端ID
- B地PPPoE拨号需配置DDNS或脚本检测IP变化更新IPSec配置
- 如果A地有多个业务IP需要转发,在ACL中精确匹配源地址

需要确认:A地具体哪些业务IP需要转发?B地公网IP是否固定?IPSec隧道当前是否已正常建立?

暂无评论

国服第181小鱼人
国服第181小鱼人 六段
粉丝:8人 关注:0人

您之前的配置思路是让“感兴趣流”匹配“A地特定IP → 任意目的地”,希望这样就能把所有流量都送进隧道。但实际上,IPsec的感兴趣流只对“去往对端内网”的流量生效,不会匹配“去往公网”的流量

这就是为什么您的电脑“无法连接互联网”——路由器看到这些IP发往公网的数据包,发现不在IPsec感兴趣流的保护范围内,同时又因为您做了某种阻断配置,最终数据包被丢弃了。

正确解决方案(IPsec + 策略路由 + NAT)

实现A地特定IP“借道”B地上网,需要三个核心组件配合工作:

组件作用部署位置
策略路由 (PBR)强制将特定IP的流量下一跳指向IPsec隧道接口A地路由器
IPsec隧道加密传输数据到B地两端路由器
NAT将A地源IP转换为B地公网IP,让回包能正确返回B地路由器

配置步骤详解

第一步:在A地路由器配置策略路由(关键)

策略路由的作用是强制特定IP的流量走IPsec隧道,而不是走默认路由从本地WAN口出去。

# 1. 创建ACL,匹配需要转发到B地的源IP
acl advanced 3100 
 rule permit ip source 192.168.1.0 0.0.0.255 # 假设A地特定IP段是192.168.1.0/24 
 # 2. 创建策略路由,将匹配的流量下一跳指向IPsec隧道接口 
policy-based-route PBR-TO-B permit node 10 
 if-match acl 3100 
 apply output-interface Tunnel0 # 假设IPsec绑定在Tunnel0接口 # 或者使用 apply next-hop 对端隧道地址 
 # 3. 在内网接口上应用策略路由 
interface GigabitEthernet0/0 # A地内网接口 
 ip policy-based-route PBR-TO-B
第二步:修改IPsec感兴趣流(A地)

之前您可能只配置了内网互访的感兴趣流,现在需要扩大范围,让匹配策略路由的流量能进入隧道。

# 在IPsec策略中修改保护的数据流
# 如果使用ACL方式,需要包含这些IP到任意目的地的流量 
acl advanced 3500 
 rule permit ip source 192.168.1.0 0.0.0.255 destination any # 关键!去往公网的流量 
 rule permit ip source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 # 原有内网互访保留 
 # 然后在IPsec策略中引用这个ACL 
ipsec policy TO-B 10 
isakmp security acl 3500
第三步:在B地路由器配置NAT和回包路由

B地需要做两件事:一是将来自A地的流量做NAT转换(源IP变成B地公网IP),二是确保回包能回到A地。

# 1. 创建NAT ACL,匹配从IPsec隧道过来的流量
acl advanced 3200 
 rule permit ip source 192.168.1.0 0.0.0.255 # 来自A地的特定IP段 
 # 2. 在B地WAN口上配置NAT(假设WAN口是GigabitEthernet0/0) 
interface GigabitEthernet0/0 # B地WAN口 
 nat outbound 3200 # 将这些IP的流量源地址转换为本接口IP 
 # 3. 配置回包路由:告诉B地路由器,目标为A地特定IP的包应该走IPsec隧道 # 注意:这一步通常IPsec会自动添加,但为了保险可以手动配置 
ip route-static 192.168.1.0 255.255.255.0 Tunnel0 # 指向IPsec隧道接口
第四步:在A地配置NAT排除(避免冲突)

A地路由器上,需要确保这些特定IP的流量不被本地NAT转换,否则数据包会从本地WAN口出去,而不是进隧道。

# 在A地WAN口的NAT配置中,排除这些IP
acl advanced 3300 
 rule deny ip source 192.168.1.0 0.0.0.255 # 拒绝NAT转换 
 rule permit ip any # 其他IP正常NAT 
 interface GigabitEthernet0/1 # A地WAN口 
 nat outbound 3300

您问GRE是否可行,答案是可以的。GRE + IPsec确实是更灵活的组合:

GRE over IPsec 方案原理

  • GRE创建虚拟隧道接口(Tunnel接口),可以承载任意协议(IP、IPX等)

  • 在GRE隧道之上,只需要一条简单的IPsec保护规则:source A地公网IP → destination B地公网IP

  • 然后通过静态路由,把需要转发的流量指向Tunnel接口即可

优点:配置更简洁,不依赖“感兴趣流”的复杂匹配;故障排查更直观
缺点:额外增加GRE头部开销(24字节),可能影响MTU

# GRE over IPsec 核心配置示例(B地侧需要类似配置)
# A地配置GRE隧道 
interface Tunnel0 ip address 10.255.255.1 255.255.255.0 # 隧道互联地址 
 tunnel source GigabitEthernet0/1 # 本地WAN口 
 tunnel destination <B地动态域名或IP> # 对端地址(B地是PPPoE,建议用域名) 
 tunnel protection ipsec profile TO-B # 绑定IPsec保护 # 静态路由:将特定IP的流量指向GRE隧道 
ip route-static 0.0.0.0 0.0.0.0 Tunnel0 preference 10 # 或仅部分IP 
 # IPsec策略只需保护隧道两端的通信,不用管内网段由于B地是PPPoE拨号(IP会变化),GRE over IPsec方案需要配合DDNS使用,配置复杂度稍高。


 推荐方案

鉴于您对GRE不熟悉且现有IPsec野蛮模式已经正常工作,建议采用第一种方案(IPsec + 策略路由 + NAT)

如果配置后还有问题,可以按以下顺序排查:

  1. 确认策略路由是否生效:display ip policy-based-route 查看匹配计数

  2. 确认IPsec隧道状态:display ipsec sa

  3. 在B地抓包确认NAT转换是否生效:display nat session


暂无评论

神烦烦烦烦烦烦烦烦烦烦卍
神烦烦烦烦烦烦烦烦烦烦卍 七段
粉丝:16人 关注:4人

gre over IPSec 案例

https://zhiliao.h3c.com/Theme/details/57027

做完gre之后,就把这个gre隧道当成一根网线就行,然后正常做端口映射

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
网站相关
关于我们
服务条款
隐私政策
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2026新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明