路由器msr5620组建ipsec vpn,本地多网段和对端多网段之间需要互访。
- 0关注
- 0收藏,94浏览
问题描述:
对端在云上是深信服防火墙设备,单臂部署。对方工程师说他们没问题,华三路由器这边可能需要建立多个加密数据流?
本地网段192.168.200.0/24和192.168.25.0/24。对端10.10.200.0/24和10.10.25.0/24。
为什么在本地填写多网段,对端也填写多网段,本地只有192.168.200.0网段能访问对端10.10.200.0网段。本地192.168.25.0无法访问对端10.10.200.0和10.10.25.0,本地192.168.200.0网段也无法访问对端10.10.250网段?
组网及组网描述:
本端出口192.168.1.1,对端172.16.1.1
#
interface GigabitEthernet2/0/1
port link-mode route
description 核心业务
combo enable copper
ip address 192.168.1.1 255.255.255.0
ip last-hop hold
nat outbound 3999
nat server protocol tcp global 192.168.1.1 5000 inside 192.168.25.10 5000
ipsec apply policy map1
#
ip route-static 10.10.25.0 24 GigabitEthernet2/0/1 192.168.1.2
ip route-static 10.10.200.0 24 GigabitEthernet2/0/1 192.168.1.2
ip route-static 172.16.1.1 32 GigabitEthernet2/0/1 192.168.1.2
#
acl advanced 3001
description 云上业务
rule 0 permit ip source 192.168.25.0 0.0.0.255 destination 10.10.200.0 0.0.0.255
rule 1 permit ip source 192.168.25.0 0.0.0.255 destination 10.10.25.0 0.0.0.255
rule 5 permit ip source 192.168.200.0 0.0.0.255 destination 10.10.200.0 0.0.0.255
rule 6 permit ip source 192.168.200.0 0.0.0.255 destination 10.10.25.0 0.0.0.255
acl advanced 3999
description vpn排除nat
rule 15 deny ip source 192.168.25.0 0.0.0.255 destination 10.10.200.0 0.0.0.255
rule 16 deny ip source 192.168.25.0 0.0.0.255 destination 10.10.25.0 0.0.0.255
rule 17 deny ip source 192.168.200.0 0.0.0.255 destination 10.10.200.0 0.0.0.255
rule 20 deny ip source 192.168.200.0 0.0.0.255 destination 10.10.25.0 0.0.0.255
rule 1000 permit ip
ipsec transform-set test1
esp encryption-algorithm aes-cbc-256
esp authentication-algorithm sha256
#
ipsec policy map1 10 isakmp
transform-set test1
security acl 3001
local-address 192.168.1.1
remote-address 172.16.1.1
ike-profile profile1
#
#
ike profile profile1
keychain test1
dpd interval 30 retry 3 periodic
local-identity address 192.168.1.1
match remote identity address 172.16.1.1 255.255.255.255
proposal 10
#
ike proposal 10
encryption-algorithm aes-cbc-256
dh group14
authentication-algorithm sha256
#
ike keychain test1
pre-shared-key address 172.16.1.1 255.255.255.255 key cipher test1
#
两端都没有公网地址吗
为了去敏把公网地址改成了私网地址,不太严谨。
有网段能够互通的话主要看下对端感兴趣流和路由怎么写吧,本段看着没啥问题
我用kimi查了下,说是华三有些设备IKEV1可能不支持在一个 IKE SA 下协商多个 IPSec SA,打算换IKEV2试试了
应该都是公网地址吧,只是你换成了私网地址。
如果路由器这端是私网地址,参考手册2.19.3 IKE野蛮模式及NAT穿越配置举例
已经有一段是可以互通了的,排查一下另外一个段的路由问题,这端网关是否错误。
对端的感兴趣流是否配置正确,本端和对端的网段是否会有冲突,
版本链接 首页支持文档与软件软件下载路由器H3C MSR G2 系列开放多业务路由器H3C MSR 5620[60][80] 路由器
是的,公网地址,去敏改成的私网地址,我感觉像是感兴趣流两端配置的问题
感应数据流的问题,对端只能一个网段对应我本地多个网段,不能多个网段对应我本地多个网段,奇怪的是我看对端有禁用spi不知道为啥没生效,好在今天上午解决了
问题根因 + 完整解决方案
一、为什么只有 200.0 ↔ 200.0 能通?
-
华三 IPSec 限制: 一个
ipsec policy下的 ACL,只认第一条成功协商的流,后面的规则会被忽略 / 不协商。 你的 ACL 第一条是25.0→200.0,实际协商成功的却是200.0→200.0,其他流量全部不加密、不转发。 -
深信服对接要求: 深信服单臂模式 + 华三对接,必须 每个 “本地网段→对端网段” 单独建一条 IPSec,不能混在一个策略里。
-
你现在的问题
- 192.168.25.0 → 任何对端网段:不通
- 192.168.200.0 → 10.10.25.0:不通
- 只有 200.0 ↔ 200.0 通
二、正确配置方案(直接复制替换)
核心思路
- 192.168.200.0 ↔ 10.10.200.0
- 192.168.200.0 ↔ 10.10.25.0
- 192.168.25.0 ↔ 10.10.200.0
- 192.168.25.0 ↔ 10.10.25.0
第一步:删除旧配置
# 先删除接口下的旧ipsec
interface GigabitEthernet2/0/1
undo ipsec apply policy map1
quit
# 删除旧策略
undo ipsec policy map1
undo acl advanced 3001
第二步:新建 4 条独立 ACL(一一对应)
# 1. 200.0 → 200.0
acl advanced 3001
rule permit ip source 192.168.200.0 0.0.0.255 destination 10.10.200.0 0.0.0.255
quit
# 2. 200.0 → 25.0
acl advanced 3002
rule permit ip source 192.168.200.0 0.0.0.255 destination 10.10.25.0 0.0.0.255
quit
# 3. 25.0 → 200.0
acl advanced 3003
rule permit ip source 192.168.25.0 0.0.0.255 destination 10.10.200.0 0.0.0.255
quit
# 4. 25.0 → 25.0
acl advanced 3004
rule permit ip source 192.168.25.0 0.0.0.255 destination 10.10.25.0 0.0.0.255
quit
第三步:新建 4 条 IPSec 策略(共用加密参数)
# 策略10:200.0<->200.0
ipsec policy map1 10 isakmp
transform-set test1
security acl 3001
local-address 192.168.1.1
remote-address 172.16.1.1
ike-profile profile1
# 策略20:200.0<->25.0
ipsec policy map1 20 isakmp
transform-set test1
security acl 3002
local-address 192.168.1.1
remote-address 172.16.1.1
ike-profile profile1
# 策略30:25.0<->200.0
ipsec policy map1 30 isakmp
transform-set test1
security acl 3003
local-address 192.168.1.1
remote-address 172.16.1.1
ike-profile profile1
# 策略40:25.0<->25.0
ipsec policy map1 40 isakmp
transform-set test1
security acl 3004
local-address 192.168.1.1
remote-address 172.16.1.1
ike-profile profile1
第四步:重新应用到接口
interface GigabitEthernet2/0/1
ipsec apply policy map1
quit
第五步:你的 NAT 排除配置是对的,保留不动
acl advanced 3999
# 已包含所有VPN网段,无需修改
rule 15 deny ip source 192.168.25.0 0.0.0.255 destination 10.10.200.0 0.0.0.255
rule 16 deny ip source 192.168.25.0 0.0.0.255 destination 10.10.25.0 0.0.0.255
rule 17 deny ip source 192.168.200.0 0.0.0.255 destination 10.10.200.0 0.0.0.255
rule 20 deny ip source 192.168.200.0 0.0.0.255 destination 10.10.25.0 0.0.0.255
rule 1000 permit ip
quit
三、对端深信服必须同步配置(非常重要)
- 本地:10.10.200.0 ↔ 远程:192.168.200.0
- 本地:10.10.25.0 ↔ 远程:192.168.200.0
- 本地:10.10.200.0 ↔ 远程:192.168.25.0
- 本地:10.10.25.0 ↔ 远程:192.168.25.0
深信服单臂部署不支持多网段混合一条 IPSec,必须和华三一样,一一拆分。
四、测试命令(配置完执行)
# 清除旧SA(必须执行)
reset ipsec sa
reset ike sa
# 查看IPSec状态
display ipsec sa
display ike sa
总结
- 根因:华三 MSR + 深信服对接,单个 IPSec 策略不支持多网段交叉,必须拆分。
- 方案:4 个网段 → 建 4 条独立 ACL + 4 条 IPSec 策略。
- 关键:对端深信服也要一一对应建 4 条,不能偷懒合并。
你这个是哪个ai找的呢?
你这个是哪个ai找的呢?
1. 核心问题:两端 ACL 3001 必须“镜像对称”
- 本端(H3C MSR5620):源地址是本地网段,目的地址是对端网段。
- 对端(深信服防火墙):源地址必须是对端网段,目的地址必须是本端网段。
- 规则1:源 10.10.200.0/24 -> 目的 192.168.200.0/24
- 规则2:源 10.10.200.0/24 -> 目的 192.168.25.0/24
- 规则3:源 10.10.25.0/24 -> 目的 192.168.200.0/24
- 规则4:源 10.10.25.0/24 -> 目的 192.168.25.0/24
2. 本地路由配置错误与修正
192.168.1.2(这通常是光猫或上级路由的地址)。- 问题分析:
192.168.1.2无法识别你的内网私有地址10.10.x.x,流量会被直接丢弃。去往对端内网的流量,下一跳必须指向 VPN 的对端公网 IP(172.16.1.1),让路由器将其送入 IPSec 隧道进行加密。 - 修正命令(在 MSR5620 上修改):
1undo ip route-static 10.10.25.0 24 GigabitEthernet2/0/1 192.168.1.2 2undo ip route-static 10.10.200.0 24 GigabitEthernet2/0/1 192.168.1.2 3ip route-static 10.10.25.0 24 172.16.1.1 4ip route-static 10.10.200.0 24 172.16.1.1
3. 检查 NAT 排除规则(ACL 3999)
acl advanced 3999 配置了 deny 规则来排除 VPN 流量的 NAT 转换,这是正确的思路。但为了确保万无一失,请确认深信服防火墙的对端也做了相应的 NAT 排除(或叫不转换 NAT) 配置。如果对端没有排除 NAT,回包时源 IP 被篡改,本端路由器会因为找不到对应的会话而丢弃数据包。4. 接口下的 NAT 与 IPSec 冲突
GigabitEthernet2/0/1 接口下同时配置了 nat outbound 3999 和 ipsec apply policy map1。虽然 H3C 设备支持这种共存,但处理顺序非常关键。建议通过以下命令检查 NAT 是否真的被排除了:
- 在 MSR5620 上执行
display nat session verbose,观察去往 10.10.x.x 的流量是否依然产生了 NAT 会话。如果有,说明 ACL 3999 没有生效,需要调整 ACL 规则或 NAT 应用的顺序。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
我用kimi查了下,说是华三有些设备IKEV1可能不支持在一个 IKE SA 下协商多个 IPSec SA,打算换IKEV2试试了