问题描述:
我想咨询一下,ADVPN是否支持基于IKEv2的IPsec保护,如果支持,能否给出一些配置案例呢?
因为我看官方文档只有IKEv1的配置,ADVPN对IPsec的支持,只是一笔带过,叫读者自行查阅IPsec配置指导。
我自行尝试了一下,貌似是不支持,但是我也不确定我的配置是否正确,所以特来咨询一下。
- 2026-04-02提问
- 举报
-
(0)
H3C的ADVPN技术是支持基于IKEv2的IPsec保护的
1. ADVPN与IKEv2的关系:技术上是支持的
首先可以明确,从协议标准和H3C的实现来看,ADVPN与IKEv2是紧密相关的:
协议标准:ADVPN的核心功能——动态建立Spoke间的“直达隧道”(Shortcut),本身就是基于IKEvv2协议的一种扩展。
H3C实现:虽然老案例多用IKEv1,但这通常是出于向下兼容的考虑。对于新的部署项目,使用IKEv2是更推荐的做法。
2. 为什么IKEv2的案例比较少?
这背后主要有两个原因:
兼容性优先:IKEv1的成熟度和设备兼容性更高,因此官方文档和早期案例会优先以它作为通用示例。
历史遗留:很多存量网络和教程是基于IKEv1搭建的。
3. IKEv2配置核心思路
虽然无法提供完整的命令行,但如果你要自行尝试,可以将IKEv1的配置思路迁移过来,并关注以下几个核心点:
IKE提议 (IKE Proposal):这是最核心的区别。你需要创建一个新的IKE提议,并将版本强制指定为2。
ike proposal <proposal-number># 关键配置点- authentication-method pre-share
- encryption-algorithm aes-cbc-256 # 示例算法
- dh group14 # 示例DH组
- authentication-algorithm sha256 # 示例认证算法
- integrity-algorithm hmac-sha256 # IKEv2的完整性算法
- prf sha256 # IKEv2的伪随机函数
- ike-version 2 # 关键:指定为IKEv2
- IKE Keychain和Profile:配置方式与IKEv1类似,用于指定预共享密钥和对端身份。
IPsec安全策略 (IPsec Policy):ADVPN通常使用基于路由的IPsec VPN(
application-based),并在策略中启用auto-discovery功能,这是触发Spoke间建立直达隧道的开关。
- 2026-04-02回答
- 评论(0)
- 举报
-
(0)
zhiliao_Gixe
四段
支持。ADVPN可以基于IKEv2协商IPsec隧道。
关键配置思路:
1. Hub 配置为 服务器模式,`ike profile` 中启用 `match remote identity address`。
2. Spoke 配置为 客户端模式,`ike profile` 中配置 `local-identity address` 和 `match remote identity address`。
3. Spoke的 `ipsec policy` 或 `ipsec profile` 中引用客户端的 `ike profile`。
4. Hub的 `ipsec policy` 模板中引用服务器的 `ike profile`。
Hub配置示例(服务器模式):
ike profile advpn-server
exchange-mode aggressive
local-identity fqdn ***.***
match remote identity address 0.0.0.0 0.0.0.0
proposal 1
...
ipsec policy-template advpn-temp 1
ike-profile advpn-server
...
ipsec policy advpn 1 isakmp template advpn-temp
Spoke配置示例(客户端模式):
ike profile advpn-client
exchange-mode aggressive
local-identity address
match remote identity fqdn ***.***
proposal 1
...
ipsec profile advpn-client
ike-profile advpn-client
...
注意: ADVPN动态协商依赖 Aggressive模式,这是实现Spoke动态注册和隧道动态建立的关键。配置前请备份。
关键配置思路:
1. Hub 配置为 服务器模式,`ike profile` 中启用 `match remote identity address`。
2. Spoke 配置为 客户端模式,`ike profile` 中配置 `local-identity address` 和 `match remote identity address`。
3. Spoke的 `ipsec policy` 或 `ipsec profile` 中引用客户端的 `ike profile`。
4. Hub的 `ipsec policy` 模板中引用服务器的 `ike profile`。
Hub配置示例(服务器模式):
ike profile advpn-server
exchange-mode aggressive
local-identity fqdn ***.***
match remote identity address 0.0.0.0 0.0.0.0
proposal 1
...
ipsec policy-template advpn-temp 1
ike-profile advpn-server
...
ipsec policy advpn 1 isakmp template advpn-temp
Spoke配置示例(客户端模式):
ike profile advpn-client
exchange-mode aggressive
local-identity address
match remote identity fqdn ***.***
proposal 1
...
ipsec profile advpn-client
ike-profile advpn-client
...
注意: ADVPN动态协商依赖 Aggressive模式,这是实现Spoke动态注册和隧道动态建立的关键。配置前请备份。
- 2026-04-02回答
- 评论(1)
- 举报
-
(0)
如果按这个match remote identity的配置,那如果我想实现FULL-MESH组网,就要给每个节点都要写一个match配置?
九溟扶桑
发表时间:2026-04-02
更多>>
如果按这个match remote identity的配置,那如果我想实现FULL-MESH组网,就要给每个节点都要写一个match配置?
九溟扶桑
发表时间:2026-04-02
结论:H3C ADVPN(V7 平台)支持 IKEv2,但有版本 / 平台限制,且官方文档以 IKEv1 为主,IKEv2 需按 “通用 IKEv2 + ADVPN” 组合配置。
一、支持性说明(S5560X / MSR / 防火墙)
- Comware V7 较新版本(R63xx+、R11xx+):ADVPN 可以绑定 IKEv2 profile
- 限制:
- ADVPN 依赖 VAM 协议(注册 / 地址分发),IKEv2 只负责 IPsec SA 协商
- 不支持 IKEv2 主模式 / 野蛮模式混用,必须全程 IKEv2
- 部分老版本(如早期 R62xx)仅支持 IKEv1,需升级版本
二、核心配置思路(IKEv2 + ADVPN)
- 配置 IKEv2 提议、策略、keychain、profile(标准 IKEv2)
- 配置 IPsec 提议、IPsec profile(引用 IKEv2 profile)
- 配置 ADVPN(VAM client/server)+ Tunnel 接口
- Tunnel 下应用 IPsec profile(IKEv2)
三、H3C ADVPN + IKEv2 配置示例(Hub-Spoke)
1)通用前置(两端相同)
plaintext
# 版本建议:R66xx+ / R1118+
sysname Hub/Spoke
# IKEv2 提议
ikev2 proposal ADVPN_PROP
encryption aes-256-cbc
integrity sha256
prf sha256
dh group14
# IKEv2 策略
ikev2 policy ADVPN_POL
proposal ADVPN_PROP
# IPsec 提议
ipsec transform-set ADVPN_TS
esp encryption aes-256-cbc
esp authentication sha256
pfs dh-group14
2)Hub 端(中心,静态 IP)
plaintext
# 1. IKEv2 keychain(预共享密钥)
ikev2 keychain ADVPN_KEY
peer Spoke
address 0.0.0.0 0.0.0.0
identity address 0.0.0.0 0.0.0.0
pre-shared-key simple H3C@ADVPN123
# 2. IKEv2 profile
ikev2 profile ADVPN_HUB_PROF
authentication-method local pre-share
authentication-method remote pre-share
keychain ADVPN_KEY
match remote identity address 0.0.0.0 0.0.0.0
identity local address 1.1.1.1 # Hub公网IP
sa duration 86400
dpd interval 15 retry 3
# 3. IPsec profile(引用 IKEv2)
ipsec profile ADVPN_IPSEC_PROF isakmp
transform-set ADVPN_TS
ikev2-profile ADVPN_HUB_PROF
# 4. ADVPN VAM Server
vam server advpn
preempt
client keepalive 60 3
# 5. Tunnel 接口(ADVPN)
interface Tunnel1 mode advpn
ip address 10.1.1.1 255.255.255.0
source GigabitEthernet0/0(公网口)
vam server enable
tunnel protection ipsec profile ADVPN_IPSEC_PROF # 绑定IKEv2 IPsec
ospf 1 area 0 # 或 BGP
3)Spoke 端(分支,动态 / 静态 IP)
plaintext
# 1. IKEv2 keychain
ikev2 keychain ADVPN_KEY
peer Hub
address 1.1.1.1 255.255.255.255
identity address 1.1.1.1 255.255.255.255
pre-shared-key simple H3C@ADVPN123
# 2. IKEv2 profile
ikev2 profile ADVPN_SPOKE_PROF
authentication-method local pre-share
authentication-method remote pre-share
keychain ADVPN_KEY
match remote identity address 1.1.1.1 255.255.255.255
identity local address 2.2.2.2 # Spoke公网IP(动态可写any)
sa duration 86400
dpd interval 15 retry 3
# 3. IPsec profile
ipsec profile ADVPN_IPSEC_PROF isakmp
transform-set ADVPN_TS
ikev2-profile ADVPN_SPOKE_PROF
# 4. ADVPN VAM Client
vam client advpn
server primary ip-address 1.1.1.1
register interval 300
username spoke1 password H3C@123
# 5. Tunnel 接口
interface Tunnel1 mode advpn
ip address 10.1.1.2 255.255.255.0
source GigabitEthernet0/0(公网口)
vam client enable
tunnel protection ipsec profile ADVPN_IPSEC_PROF
ospf 1 area 0
四、为什么你之前配不通(常见坑)
- 版本太老:S5560X 早期 R110x 不支持 IKEv2 + ADVPN → 升级到 R1118+
- 混用 IKEv1/IKEv2:一端 v1、一端 v2 → 全程 IKEv2
- IPsec profile 写错:用
ike-profile(IKEv1)而非ikev2-profile - VAM 注册失败:先看
display vam client all、display vam server client - DPD / 重传不匹配:两端 DPD 间隔 / 重试一致
五、排查命令
plaintext
display ikev2 sa # 看IKEv2 SA是否建立
display ipsec sa # 看IPsec SA
display vam client all # ADVPN注册状态
display advpn shortcut # 快捷隧道
六、总结
- 支持:V7 新版 ADVPN 支持 IKEv2
- 配置:按 标准 IKEv2 + ADVPN 组合,关键在
ipsec profile下ikev2-profile - 优先升级:老版本先升级再配
- 2026-04-03回答
- 评论(0)
- 举报
-
(0)
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明