华三MSR30-11路由器 ipsec 与acl （非感兴趣流）配置

一、为什么 IPSec 建好了但业务不通？

1. ACL 3000：只放某个外网 IP，拒绝其他所有
2. IPSec 策略：感兴趣流走加密隧道

• IPSec 加密前 / 解密后的报文，一样要过接口 ACL
• 你只放了普通外网 IP，没放行 IPSec 感兴趣流网段
• 路由器直接把业务包 deny 了 → 通不了

• IPSec 第 1/2 阶段 SA 正常建立（IKE 500/4500 包被你放行了）
• 业务 ping / 访问不通

二、正确做法：ACL 必须放行两类流量

1. IKE/IPSec 协议包（保证隧道能建立）
2. 感兴趣流网段（保证业务能通）

典型 ACL 结构（照着改就行）

重点：感兴趣流必须写进外网口 ACL 并 permit，否则业务包直接被 deny。

三、检查要点（快速排错）

1. 在外网口下 display this
   看是 packet-filter 3000 inbound 还是 outbound，还是双向都绑了
2. 用 display acl 3000 看 匹配计数
   会看到 deny 规则计数疯狂上涨，就是它在拦业务
3. 临时测试：先删掉接口 ACL
   业务立刻通 → 实锤是 ACL 拦截

四、最简总结

• IPSec SA 建立正常 ≠ 业务能通
• 外网口 ACL 会过滤加密前、解密后的真实业务 IP
• 必须在 ACL 里 permit 感兴趣流网段
• 同时放行 udp 500/4500 + esp，保证隧道不掉

可能由以下ACL配置导致：

1. ACL与IPsec策略冲突：当接口同时启用ACL和IPsec时，ACL会优先于IPsec处理报文。若ACL未明确允许IPsec的感兴趣流（即业务IP流量），则流量会被拒绝。

   • 解决方法：在接口ACL中添加允许感兴趣流IP的规则，并确保该规则位于"拒绝所有"规则之前。例如：

     acl advanced 3000
     rule 5 permit ip source <业务源IP> destination <业务目的IP> // 明确允许IPsec业务流
     rule 10 deny ip // 拒绝其他流量

2. NAT与IPsec优先级问题：若接口同时配置NAT，需注意NAT处理顺序先于IPsec。若NAT转换导致流量不匹配IPsec ACL，也会导致通信失败。

   • 验证建议：检查NAT配置是否修改了业务流的源/目的IP，确保转换后流量仍能匹配IPsec策略的ACL。

3. 其他关键点：

   • 确认IPsec策略中引用的ACL范围与业务流完全匹配，避免范围过小或冲突。
   • 若接口绑定VPN实例，需在ACL中指定vpn-instance参数。

总结：必须将业务IP（感兴趣流）添加到接口ACL的允许规则中，否则ACL会丢弃IPsec流量。同时需检查NAT和VPN实例配置是否影响流量匹配。

看了你的描述，这个问题的根本原因，就是互联网接口上的出站ACL错误地将IPsec VPN的“感兴趣流”拦截了，导致它无法进入加密流程。你的判断很准，确实需要将感兴趣流加入到ACL中放行。

这里有一个配置上的关键点：处理IPsec感兴趣流的NAT排除规则，和出站包过滤的ACL，是两种不同的配置。你需要给接口添加两条规则，并且它们的处理顺序很重要。

📜 问题的根源：ACL处理顺序

H3C设备在处理出站流量时，遵循的流程是：先执行包过滤（packet-filter），再进行NAT转换。这就像你先让保安检查通行证，通过了才能去柜台办业务。

• 保安先上岗：报文到达接口时，会优先匹配packet-filter（ACL 3333）。如果被拒绝，报文直接丢弃，IPsec根本看不到它。

• 柜台后处理：只有通过保安检查的报文，才会进入nat outbound的处理，这决定了它是否会被NAT，还是被IPsec VPN直接保护。

因此，你的packet-filter（ACL 3333）作为第一道关卡，必须放行所有需要通过IPsec VPN的“感兴趣流”报文，它们才能继续后续流程。

嗯，谢谢各位大佬，昨晚这知了维护了，早上看，。。测试了下采纳了的答案。感兴趣流的IP(业务)，也要放进acl里面去。刚开始还以为是没放那些udp ，esp协议问题。按照常规封装感兴趣流封装进去了的。没想到还是得把感兴趣流的ip放进去acl。