防火墙双机IPSEC

没有这种完整配置举例的

参考典配吧

在华三防火墙VRRP主备部署在内网的场景下，穿越NAT建立IPsec VPN是完全可行的。虽然过程比设备直接作为出口要复杂一些，但只要理清关键配置点，就可以顺利实现。

核心思路是：将IPsec隧道绑定到VRRP的虚拟IP地址上，并在上联出口设备（如负载均衡器）上正确配置端口映射。

以下是根据官方文档案例整理的配置要点和步骤，供你参考：

🎯 核心配置要点

1. IKE和IPsec绑定VRRP虚地址：IPsec隧道的标识和通信必须使用VRRP的虚拟IP地址，而不是各防火墙的物理接口地址，这样才能保证主备切换时业务不中断。

2. 明确NAT穿越场景：当你的防火墙在内网，前端还有设备进行地址转换时，这种情况本身就属于NAT穿越。标准IPsec的IKE（UDP 500）和ESP协议在内网IP到公网IP的转换过程中，必须依赖NAT-T来封装，才能让对端设备正确识别和建立隧道。

3. 正确配置端口映射：你需要在出口设备（如负载均衡器LB）上，将公网IP的 UDP 500和UDP 4500 端口，映射到防火墙VRRP虚地址的相应端口上。

📝 配置步骤详解

以下假设你的防火墙端VRRP虚地址为10.1.1.254，对端公网地址为1.1.1.5，对端IPsec隧道标识为10.2.2.6。

1. 出口设备（LB）配置

在堆叠的负载均衡器上，配置NAT Server或端口映射，将公网IP的端口指向内网防火墙VRRP虚地址。

2. 防火墙（FW）配置

这是最关键的部分，重点在local-address和身份标识的配置。本端所有IPsec相关配置都应引用VRRP虚地址。

📌 特别说明：以上是基于IKEv2的配置示例。如果你的环境需要IKEv1（主模式或野蛮模式），配置逻辑一致，只是命令关键字有所不同。关键是local-address和identity local都必须指向VRRP的虚地址。

⚠️ 关键注意事项

• NAT-T功能：华三（H3C）防火墙的NAT穿越功能通常是自适应开启的，无需手动配置。

• SPF（安全策略）放行：务必放行Local到Untrust域、以及Untrust到Local域的安全策略，允许UDP 500和4500端口。否则IPsec协商报文会被拦截，这也是IPsec SA起不来的常见原因。

• 路由问题：如果在主备切换后业务中断，需要检查RBM_P（主）和RBM_S（备）设备上的路由表。VRRP虚地址的路由可能无法通过RBM自动同步，通常需要在两台防火墙上分别配置指向公网的缺省路由。

🔍 常见故障排查

如果在配置中遇到IKE SA能建立但IPsec SA无法建立的情况，可以按以下顺序排查：

1. 检查IPsec感兴趣流（ACL）：确认两端指定的需要保护的数据流范围是否镜像对称。例如，本端是192.168.1.0/24 -> 172.16.1.0/24，对端必须是172.16.1.0/24 -> 192.168.1.0/24。

2. 检查第二阶段参数：确认两端IPsec安全提议中的封装模式（隧道/传输）、安全协议（ESP/AH）、加密和验证算法是否完全一致。

3. 检查NAT豁免配置：确保在防火墙的NAT策略中，已通过高级ACL规则将IPsec兴趣流排除在外，不要对这些数据进行源地址转换。

4. 检查端口映射：再次确认上联出口设备的端口映射配置正确，且没有其他策略干扰。