问

f1030防火墙端口映射与IPSEC冲突

2025-05-08提问

0关注
0收藏，597浏览

zhiliao_ewjb4a

zhiliao_ewjb4a 零段

粉丝：0人关注：0人

问题描述：

最近遇到一个问题，之前出口防火墙上做了内网服务器的端口映射，后面又跟总部的华为AR6300对接做了IPSEC打通，发现在F1030做了映射的服务器PING不通对端的服务器，取消映射就正常，不知道有没有人遇到过？？前几天在总部出现无法PING通H3C这边服务器时发现是因为AR6300上做的映射是nat server，后面改成nat static映射后就能正常访问了。但是H3C好像配置不了nat static的端口映射。。。

最佳答案

牛马网工当牛马

牛马网工当牛马四段

粉丝：0人关注：0人

ipsec的感兴趣流怎么写的，精细化的写法吗？还是只写了一个源地址？

解决了，感谢

zhiliao_ewjb4a 发表时间：2025-05-09 更多>>

感兴趣流应该也没问题，只要不做映射都是正常的

zhiliao_ewjb4a 发表时间：2025-05-09

解决了，感谢

zhiliao_ewjb4a 发表时间：2025-05-09

3 个回答

按时间按赞数

已采纳

zhiliao_sEUyB

zhiliao_sEUyB 九段

粉丝：109人关注：9人

1. NAT与IPSec优先级冲突：映射服务器的流量被NAT优先处理，未触发IPSec加密，导致流量以明文发送至公网，无法匹配IPSec隧道。

2. ACL规则冲突：NAT outbound使用的ACL未排除IPSec感兴趣流，导致加密流量被错误NAT转换。

3. NAT回流未配置：内网通过公网IP访问映射端口时，未启用NAT hairpin，导致流量路径未经过IPSec隧道。解决方案：

1. 分离NAT与IPSec流量：

修改NAT的ACL，拒绝IPSec感兴趣流（如总部服务器网段）。

acl advanced 2000

rule 0 deny ip source 内网服务器网段 destination IPSec对端网段

rule 5 permit ip

确保IPSec策略的ACL（如acl 3000）精确匹配需要加密的流量。

2. 启用NAT回流：

interface GigabitEthernet1/0/1

nat hairpin enable

nat outbound 2000

安全策略放行内网到服务器的回流流量（源：内网地址段，目的：服务器私网地址）。

3. 检查IPSec配置：

确认IPSec策略正确调用IKE profile，且隧道模式为非模板方式（主动触发协商）。

验证两端感兴趣流完全对称，避免ACL范围不匹配。

4. 端口冲突排查：

确保NAT server未映射UDP 500/4500端口，避免与IPSec协商流量冲突。通过上述调整，可解决NAT与IPSec优先级冲突，保证加密流量正确触发隧道建立。

刚刚测试的时候做映射没加reversible。。。额，还以为通了

zhiliao_ewjb4a 发表时间：2025-05-09 更多>>

基本上你说的都做了，反正IPSEC两端互通都没问题，明天我又发现了，做单向映射就没问题，但如果命令加了reversible，就不通了，难道回流要单独做？

zhiliao_ewjb4a 发表时间：2025-05-09

刚刚又检查了一遍，下行口写了nat hairpin enable，外网口没做，加上就正常了。。。感谢大佬

zhiliao_ewjb4a 发表时间：2025-05-09

高兴早了，刚刚是幻觉？？我刚加上是通了，后面用客户机器测试还是不行。。-_-!!!

zhiliao_ewjb4a 发表时间：2025-05-09

刚刚测试的时候做映射没加reversible。。。额，还以为通了

zhiliao_ewjb4a 发表时间：2025-05-09

什么都不会的网络工程师

什么都不会的网络工程师五段

粉丝：8人关注：0人

配置放不方便发一下，要不然不好排查问题

就是原来正常的在出口做了nat server端口映射了内网的服务器，后面跟总部做了IPSEC，放通的服务器这个网段，然后就发现访问不了总部对应放通的服务器

zhiliao_ewjb4a 发表时间：2025-05-08 更多>>

zhiliao_ewjb4a 发表时间：2025-05-08

zhiliao_ewjb4a

zhiliao_ewjb4a 知了小白

粉丝：0人关注：0人

###下行口###
interface GigabitEthernet1/0/1
port link-mode route
ip address 10.1.1.1 255.255.255.248
nat hairpin enable

###外网口###
interface GigabitEthernet1/0/15
port link-mode route
ip address 1.1.1.114 255.255.255.248
ip address 1.1.1.115 255.255.255.248 sub
ip address 1.1.1.116 255.255.255.248 sub
ip address 1.1.1.117 255.255.255.248 sub
ip address 1.1.1.118 255.255.255.248 sub
tcp mss 1300
nat outbound 3002 address-group 1
nat outbound 3001 address-group 0
###0.1是我的测试机###
nat server protocol tcp global current-interface 22222 inside 192.169.0.1 22222 reversible
nat hairpin enable
ipsec apply policy GE1/0/15

###公网地址组###
NAT address group information:
Totally 3 NAT address groups.
Address group ID: 0
Port range: 1-65535
Address information:
Start address End address
1.1.1.115 1.1.1.115
1.1.1.118 1.1.1.118

Address group ID: 1
Port range: 1-65535
Address information:
Start address End address
1.1.1.114 1.1.1.114

###NAT调用的ACL###
Advanced IPv4 ACL 3001, 16 rules,
ACL's step is 5
rule 1 deny ip source 192.168.90.0 0.0.0.255 destination 192.168.92.0 0.0.0.255 (235 times matched)
rule 2 deny ip source 192.168.90.0 0.0.0.255 destination 192.168.254.0 0.0.0.255 (15 times matched)
rule 3 deny ip source 192.168.90.0 0.0.0.255 destination 192.168.250.0 0.0.1.255 (478 times matched)
rule 4 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.92.0 0.0.0.255 (18 times matched)
rule 5 deny ip source 192.168.40.0 0.0.0.255 destination 192.168.250.0 0.0.1.255
rule 6 deny ip source 10.190.11.0 0.0.0.255 destination 192.168.250.0 0.0.1.255 (2 times matched)
rule 7 deny ip source 10.190.11.0 0.0.0.255 destination 192.168.92.0 0.0.0.255 (2214 times matched)
rule 10 permit ip source 192.168.90.0 0.0.0.255 (15084193 times matched)
rule 15 permit ip source 10.190.11.0 0.0.0.255 (1118225 times matched)
rule 20 deny ip source 10.250.0.0 0.0.0.255 destination 192.168.250.0 0.0.1.255
rule 31 deny ip source 192.169.0.0 0.0.0.255 destination 192.168.250.0 0.0.1.255 (13 times matched)
rule 33 deny ip source 192.169.0.0 0.0.0.255 destination 192.168.92.0 0.0.0.255 (44 times matched)
rule 34 deny ip source 10.250.0.0 0.0.0.255 destination 192.168.92.0 0.0.0.255
rule 35 deny ip source 10.250.0.0 0.0.0.255 destination 192.168.254.0 0.0.0.255 (124525 times matched)
rule 60 permit ip source 192.169.0.0 0.0.0.255 (1792062 times matched)
rule 70 permit ip source 10.250.0.0 0.0.0.255 (1537695 times matched)

Advanced IPv4 ACL 3002, 3 rules,
ACL's step is 5
rule 0 permit ip source 192.168.70.0 0.0.0.255 (226494634 times matched)
rule 5 permit ip source 192.168.110.0 0.0.0.255 (407892544 times matched)
rule 10 permit ip source 192.168.80.0 0.0.0.

###IPSEC调用的ACL###
Advanced IPv4 ACL named IPsec_GE1/0/15_IPv4_1, 12 rules,
ACL's step is 5
rule 1 permit ip source 192.168.90.0 0.0.0.255 destination 192.168.92.0 0.0.0.255 (35718479 times matched)
rule 2 permit ip source 192.168.90.0 0.0.0.255 destination 192.168.254.0 0.0.0.255 (111301 times matched)
rule 3 permit ip source 192.168.90.0 0.0.0.255 destination 192.168.250.0 0.0.1.255 (2567821 times matched)
rule 4 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.92.0 0.0.0.255 (1795 times matched)
rule 5 permit ip source 192.168.40.0 0.0.0.255 destination 192.168.250.0 0.0.1.255 (39241 times matched)
rule 6 permit ip source 10.190.11.0 0.0.0.255 destination 192.168.92.0 0.0.0.255 (666056 times matched)
rule 7 permit ip source 10.190.11.0 0.0.0.255 destination 192.168.250.0 0.0.1.255 (700750 times matched)
rule 10 permit ip source 192.169.0.0 0.0.0.255 destination 192.168.250.0 0.0.1.255 (23003932 times matched)
rule 20 permit ip source 10.250.0.0 0.0.0.255 destination 192.168.250.0 0.0.1.255 (12977961 times matched)
rule 30 permit ip source 10.250.0.0 0.0.0.255 destination 192.168.92.0 0.0.0.255 (37307 times matched)
rule 40 permit ip source 192.169.0.0 0.0.0.255 destination 192.168.92.0 0.0.0.255 (777608 times matched)
rule 50 permit ip source 10.250.0.0 0.0.0.255 destination 192.168.254.0 0.0.0.255 (191626818 times matched)
255 (104806 times matched)

###IPSEC配置###
ipsec transform-set GE1/0/15_IPv4_1
esp encryption-algorithm aes-cbc-256
esp authentication-algorithm sha1
#
ipsec policy GE1/0/15 1 isakmp
transform-set GE1/0/15_IPv4_1
security acl name IPsec_GE1/0/15_IPv4_1
local-address 1.1.1.114
remote-address 2.2.2.18
ike-profile GE1/0/15_IPv4_1
#
ike profile GE1/0/15_IPv4_1
keychain GE1/0/15_IPv4_1
local-identity address 1.1.1.114
match remote identity address 2.2.2.18 255.255.255.255
match local address GigabitEthernet1/0/15
proposal 1
#
ike proposal 1
encryption-algorithm aes-cbc-256
dh group14
#
ike keychain GE1/0/15_IPv4_1
match local address GigabitEthernet1/0/15
pre-shared-key address 2.2.2.18 255.255.255.255 key cipher $c$3$bAVYrIKbgD7oI12fGzWyBfLCyULG2k14tvel

编辑答案

分享扩散:

➤

网站相关: 关于我们; 服务条款; 隐私政策; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

侵犯我的权益 >

对根叔社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

f1030防火墙端口映射与IPSEC冲突

问题描述：

编辑答案

提出建议