F1000-AI-G系列防火墙VPN配置问题

一、前提信息（两边都要一致）

• 本端：F1000-AI-05-G，公网接口：G1/0/1，内网：192.168.1.0/24
• 对端：动态 IP（或域名），内网：192.168.2.0/24
• 协商：IKEv1 + 野蛮模式
• 预共享密钥：Admin@123（两边完全一样）
• 本端 ID：local-h3c；对端 ID：peer-h3c（两边不能相同）

二、Web 配置步骤（F1000-AI-05-G）

1. 接口与路由

• 网络 → 接口：G1/0/1 设为外网 / 安全域 = untrust，配置公网 IP；G1/0/2 内网（trust）。
• 网络 → 静态路由：默认路由下一跳指向运营商网关。

2. 配置 IKE 提议（第一阶段）

• 名称：ike-pro-1
• 加密算法：AES-256
• 认证算法：SHA1
• DH 组：Group14（2048）
• 生命周期：86400 秒
  保存。

3. 配置 IKE 对等体（野蛮模式关键）

• 名称：ike-peer-1
• 外网接口：G1/0/1
• 协商模式：野蛮模式（Aggressive）
• 本端 ID 类型：名称（Name），本端 ID：local-h3c
• 对端 ID 类型：名称（Name），对端 ID：peer-h3c
• 预共享密钥：Admin@123
• IKE 提议：选刚才的ike-pro-1
• DPD：关闭（或 10 秒）
  保存。

4. 配置 IPSec 提议（第二阶段）

• 名称：ipsec-pro-1
• 安全协议：ESP
• ESP 加密：AES-256
• ESP 认证：SHA1
• PFS：Group14
• 生命周期：3600 秒
  保存。

5. 配置 IPSec 策略（兴趣流 + 隧道绑定）

• 名称：ipsec-policy-1
• 模式：隧道模式
• 源地址：192.168.1.0/24（本端内网）
• 目的地址：192.168.2.0/24（对端内网）
• IKE 对等体：ike-peer-1
• IPSec 提议：ipsec-pro-1
  保存 → 启用策略。

6. 放行安全策略（关键！不然不通）

• 源域：trust；目的域：untrust
• 源地址：192.168.1.0/24
• 目的地址：192.168.2.0/24
• 动作：允许
• 服务：IP
  保存。

7. 关闭 NAT（隧道流量不做 NAT）

三、对端设备要点（必须匹配）

• 协商模式：野蛮模式
• 本端 / 对端 ID：反过来（对端填local-h3c，本端填peer-h3c）
• 预共享密钥：完全一致
• IKE/IPSec 提议：加密、认证、DH 组、PFS 全匹配
• 兴趣流：反向网段（192.168.2.0→192.168.1.0）

四、排错（最常见）

• 第一阶段失败：模式不匹配、ID 不对、密钥错、算法不一致
• 第二阶段失败：兴趣流反了、PFS 不匹配、策略没放行
• 能建隧道不能通：安全策略拒绝、NAT 没豁免、路由没指向