华三MSR3620路由器可以与华为USG6331E防火墙组建IPSec VPN吗？

两端都有公网地址吗？做IPSEC VPN

这两款设备完全可以配置IPSec VPN隧道实现内网互通，因为IPSec是国际标准的VPN协议，不同厂商的设备只要协商参数一致就能互通。

 可行性确认

华三MSR3620路由器和华为USG6331E防火墙都支持IPSec VPN。关键在于两端设备的加密算法、认证算法、DH组、预共享密钥等参数必须完全一致。

 核心配置思路与关键要点

1. 整体配置流程

1. 明确网络信息：包括两端公网IP地址、内网网段。

2. 配置NAT策略：非常重要。必须确保从内网访问对端内网的流量不会被进行源地址转换（NAT）。华为设备需明确配置“NAT豁免”，而华三设备通常默认处理得当。

3. 配置路由：在双方设备上添加指向对端内网的静态路由，下一跳为本地IPSec VPN隧道的出接口或对端隧道地址。

4. 配置IPSec VPN：分阶段配置IKE和IPSec参数，并确保两端一致。

2. 参数匹配建议

为确保兼容性，建议使用以下相对现代但稳妥的参数组合。

 配置步骤概览

华三 MSR3620 侧

1. 定义需要保护的数据流：创建一个ACL（访问控制列表），精确匹配需要走VPN隧道的流量。例如，允许本地192.168.1.0/24网段访问对端192.168.2.0/24网段。

2. 配置IKE提议：设置IKE阶段的加密算法、认证算法、DH组等。

3. 配置IKE对等体：指定对端设备公网IP、预共享密钥，并关联IKE提议。

4. 配置IPSec安全提议：设置IPSec阶段的加密算法和认证算法。

5. 配置IPSec策略：关联ACL、IKE对等体和IPSec安全提议。

6. 应用IPSec策略：将IPSec策略应用到连接公网的出接口上。

7. 配置NAT豁免：确保访问对端内网的流量不被NAT转换。

8. 配置路由：添加指向对端内网的静态路由，下一跳为本地公网接口。

华为 USG6331E 侧

1. 定义需要保护的数据流：配置ACL，精确匹配需要走VPN隧道的流量（方向与华三ACL相反）。

2. 配置IKE安全提议：设置与华三侧完全一致的IKE参数。

3. 配置IKE对等体：指定对端设备公网IP、预共享密钥，并关联IKE安全提议。

4. 配置IPSec安全提议：设置与华三侧完全一致的IPSec参数。

5. 配置IPSec策略：关联ACL、IKE对等体和IPSec安全提议。

6. 应用IPSec策略：将IPSec策略应用到连接公网的出接口上。

7. 配置NAT豁免：这是关键步骤。在NAT策略中，必须配置一条源安全区域为“trust”、目的安全区域为“untrust”的策略，动作设置为“不做NAT转换”，以放行进入IPSec隧道的流量。

8. 配置安全策略：放行从“trust”区域到“untrust”区域（IPSec流量）的相关报文。

9. 配置路由：添加指向对端内网的静态路由，下一跳为本地公网网关IP。

 潜在问题与排查方法

• IKE协商失败：最常见原因是参数不一致。请逐项核对双方配置。同时，确保公网侧UDP 500（IKE）和4500（NAT-T）端口已放通。

• IPSec协商失败：通常由ACL定义的保护流不对称引起。请确保双方ACL精确且互为镜像。

• 隧道已建立但业务不通：

  1. 检查路由：确认双方都有到达对方内网的路由。

  2. 检查NAT：确认华为侧已正确配置NAT豁免。

  3. 检查安全策略：确认华为防火墙上已放行相关区域间的流量。

• 远程分支是动态IP地址：如果华三MSR3620侧是动态IP，IPSec VPN需要采用野蛮模式进行配置。

• 命令行检查：配置后，可使用display ike sa和display ipsec sa命令检查SA（安全联盟）建立状态。

完全可以，华三 MSR3620（路由器）与华为 USG6331E（防火墙，路由模式）可以建立标准 IPSec VPN（IKEv1 / 预共享密钥、点到点），属于常见的跨厂商互通场景。
一、互通前提（必须满足）
路由可达：两端公网接口 IP 互通，私网路由指向对端。
NAT 豁免：两端私网互访流量不做 NAT（关键，否则隧道不通）。
算法对称：IKE/IPSec 加密、认证、DH 组两端完全一致。
预共享密钥一致：两端配置相同的 PSK。
二、推荐对称算法（易成功）
表格
阶段 配置项 推荐值
IKEv1 加密 AES-128
IKEv1 认证 SHA1
IKEv1 DH 组 Group2（1024 位）
IPSec 协议 ESP
IPSec 加密 AES-128
IPSec 认证 SHA1
模式 封装 隧道模式
三、配置要点（极简版）
华三 MSR3620（A 地）
bash
运行
# 1. 感兴趣流（ACL，对称）
acl advanced 3000
rule permit ip source 192.168.A.0 0.0.0.255 destination 192.168.B.0 0.0.0.255

# 2. NAT豁免（关键）
acl advanced 3001
rule deny ip source 192.168.A.0 0.0.0.255 destination 192.168.B.0 0.0.0.255
nat outbound 3001

# 3. IKE提议
ike proposal 10
encryption-algorithm aes-cbc-128
authentication-algorithm sha1
dh group2

# 4. IKE对等体
ike peer USG6331E v1
pre-shared-key simple 密钥123
proposal 10
remote-address 对端公网IP
nat traversal

# 5. IPSec提议
ipsec proposal 10
esp encryption-algorithm aes-128
esp authentication-algorithm sha1

# 6. IPSec策略
ipsec policy VPN 10 isakmp
security acl 3000
ike-peer USG6331E
proposal 10

# 7. 接口应用（公网口）
interface GigabitEthernet 0/1
ipsec policy VPN
华为 USG6331E（B 地，路由模式）
bash
运行
# 1. 感兴趣流（ACL，对称）
acl number 3000
rule permit ip source 192.168.B.0 0.0.0.255 destination 192.168.A.0 0.0.0.255

# 2. NAT豁免（关键）
nat-policy
rule name 豁免
source-zone trust
destination-zone untrust
source-address 192.168.B.0 24
destination-address 192.168.A.0 24
action no-nat

# 3. IKE提议
ike proposal 10
encryption-algorithm aes-128
authentication-algorithm sha1
dh group2

# 4. IKE对等体
ike peer MSR3620
pre-shared-key simple 密钥123
proposal 10
remote-address 对端公网IP
nat traversal

# 5. IPSec提议
ipsec proposal 10
esp encryption-algorithm aes-128
esp authentication-algorithm sha1

# 6. IPSec策略
ipsec policy VPN 10 isakmp
security acl 3000
ike-peer MSR3620
proposal 10

# 7. 接口应用（公网口）
interface GigabitEthernet 0/1
ipsec policy VPN

# 8. 放行策略（trust→untrust）
security-policy
rule name VPN
source-zone trust
destination-zone untrust
source-address 192.168.B.0 24
destination-address 192.168.A.0 24
action permit
四、常见坑（避重点）
感兴趣流不对称：ACL 必须严格镜像，否则流量不触发隧道。
NAT 未豁免：私网流量被 NAT 转换，导致隧道协商失败。
算法不匹配：IKE/IPSec 算法不一致是互通失败的首要原因。
路由缺失：两端需有到对端私网的静态路由。
五、验证命令
华三：display ike sa、display ipsec sa
华为：display ike sa、display ipsec sa
结论：可以互通，按上述对称配置（重点 NAT 豁免 + 算法一致）即可成功建立 IPSec VPN 隧道。