总部和分支建立ipsec vpn

https://www.h3c.com/cn/d_202211/1716074_30005_0.htm

总部任意选择一个出口即可

H3C F1000 总部 + 分支 IPSec VPN 完整配置（总部多出口策略路由隔离、分支动态 IP 拨号）
组网梳理
总部：F1000，出口G2/0/1（电信固定公网 IP，IPSec 专用隧道口），已配置多出口策略路由；内网192.168.0.0/24
分支：F1000，出口G1/0/10（PPPoE 拨号，动态公网 IP），内网192.168.9.0/24
业务需求：192.168.9.0/24 ↔ 192.168.0.0/24 互通
核心难点：总部原有策略路由不影响 VPN 流量，分支公网 IP 动态变化
方案选型：IKEv1 野蛮模式 + 路由模式 IPSec（适配分支动态 IP），通过静态路由 + 策略路由优先级 / ACL 区分流量，隔离 VPN 流量与普通上网流量。
一、前期规划
预共享密钥：Huawei@123456（自定义，两端一致）
总部公网固定 IP：假设为 202.100.1.1（替换为实际地址）
保护流量：
总部感兴趣流：192.168.0.0 0.0.0.255 → 192.168.9.0 0.0.0.255
分支感兴趣流：192.168.9.0 0.0.0.255 → 192.168.0.0 0.0.0.255
关键原则：VPN 隧道流量不走原有多出口策略路由，单独指定出接口 G2/0/1
二、总部 F1000 配置（固定公网 IP、多出口 + 原有策略路由）
1. 基础接口、安全域（默认域：Trust/UnTrust）
plaintext
# 内网接口（Trust域）
interface GigabitEthernet 0/0
port link-mode route
ip address 192.168.0.1 255.255.255.0
zone trust

# 电信出口 G2/0/1（UnTrust域，IPSec 专用出口）
interface GigabitEthernet 2/0/1
port link-mode route
ip address 202.100.1.1 255.255.255.252 // 替换为实际公网IP/掩码
zone untrust

# 其他出口接口（原有上网出口，无需改动）
interface GigabitEthernet x/x/x
zone untrust
2. 配置 ACL 定义 IPSec 受保护流量（核心：只放通两端内网互访）
plaintext
# ACL 3000：总部→分支 感兴趣流
acl number 3000
rule permit ip source 192.168.0.0 0.0.0.255 destination 192.168.9.0 0.0.0.255
3. IKE 对等体（野蛮模式，适配分支动态 IP）
plaintext
# 开启IKE
ike enable

# IKE 提议 10（加密/认证算法，两端一致）
ike proposal 10
encryption-algorithm aes-256
authentication-algorithm sha1
dh group14

# IKE 对等体：名称 branch，野蛮模式、预共享密钥、对端动态IP
ike peer branch pre-shared-key simple Huawei@123456
ike-proposal 10
exchange-mode aggressive // 野蛮模式，动态IP必备
4. IPSec 策略（模板模式，适配分支动态公网 IP）
plaintext
# IPSec 提议 10
ipsec proposal 10
esp encryption-algorithm aes-256
esp authentication-algorithm sha1

# IPSec 策略模板（动态IP分支必须用 template）
ipsec policy-template BRANCH_TEMP 10
security acl 3000
proposal 10
remote-peer any // 允许任意对端公网IP（适配分支动态IP）
ike-peer branch

# 全局IPSec 策略组，绑定模板+指定出接口
ipsec policy MAP 10 isakmp template BRANCH_TEMP
interface GigabitEthernet 2/0/1 // 强制VPN流量从电信固定IP口出，绕开其他出口
5. 接口应用 IPSec 策略
plaintext
interface GigabitEthernet 2/0/1
ipsec apply policy MAP
6. 【重点】解决：原有策略路由不影响 VPN 流量（两种方案，二选一）
方案 A（推荐）：策略路由 ACL 拒绝 VPN 流量（最稳妥）
原有多出口策略路由一般基于ACL+策略路由表转发上网流量，在原有上网 ACL 中排除两端内网网段，VPN 流量就不会匹配原有策略路由。
示例（原有上网 ACL 为 ACL 2000，所有内网走多出口）：
plaintext
# 在原有上网ACL 最前面添加拒绝规则，优先级最高
acl number 2000
rule deny ip source 192.168.0.0 0.0.0.255 destination 192.168.9.0 0.0.0.255
rule permit ip source 192.168.0.0 0.0.0.255 destination any // 原有上网规则
原理：内网访问192.168.9.0/24 先被 deny，不匹配原有上网策略路由，查表走静态路由 + IPSec 隧道。
方案 B：添加静态路由（兜底方案）
强制分支网段流量指向隧道，优先级高于策略路由：
plaintext
ip route-static 192.168.9.0 255.255.255.0 GigabitEthernet 2/0/1 preference 40
H3C 路由优先级：静态路由 (60) < 策略路由 (60 以内)，这里把静态路由优先级改更低，强制 VPN 流量优先从 G2/0/1 转发。
7. 安全策略（放通域间流量 + IPSec 端口）
plaintext
# Trust → Untrust：允许内网访问分支
security-policy ip
rule 1 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.9.0 0.0.0.255

# Untrust → Trust：允许分支访问总部
rule 2 permit ip source 192.168.9.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

# 放行IKE(500)、ESP(50) 协议（IPSec 必需）
rule 3 permit udp destination-port eq 500
rule 4 permit esp
三、分支 F1000 配置（PPPoE 拨号 + 动态公网 IP）
1. 内网、拨号接口基础配置
plaintext
# 内网接口 Trust域
interface GigabitEthernet 0/0
port link-mode route
ip address 192.168.9.1 255.255.255.0
zone trust

# 出口G1/0/10 PPPoE 拨号（动态公网IP）
interface GigabitEthernet 1/0/10
port link-mode route
pppoe-client dial-bundle-number 1
zone untrust

# 拨号组1
dialer bundle 1
dialer user adsl
dialer-group 1
ppp authentication-mode chap
ppp chap user 账号 // 运营商拨号账号
ppp chap password simple 密码 // 运营商拨号密码
ip address ppp-negotiate // 动态获取公网IP

# 拨号ACL
dialer-group 1 rule permit ip
2. ACL 定义感兴趣流
plaintext
acl number 3000
rule permit ip source 192.168.9.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
3. IKE 配置（和总部算法、密钥完全一致）
plaintext
ike enable

ike proposal 10
encryption-algorithm aes-256
authentication-algorithm sha1
dh group14

# IKE对等体：指定总部固定公网IP
ike peer headquarters pre-shared-key simple Huawei@123456
ike-proposal 10
exchange-mode aggressive
remote-peer 202.100.1.1 // 总部电信固定公网IP
4. IPSec 策略（普通 ISAKMP 策略，分支主动发起）
plaintext
ipsec proposal 10
esp encryption-algorithm aes-256
esp authentication-algorithm sha1

# 普通IPSec策略（分支主动连接总部）
ipsec policy MAP 10 isakmp
security acl 3000
proposal 10
remote-peer 202.100.1.1
ike-peer headquarters

# 拨号接口应用IPSec策略
interface Dialer 1
ipsec apply policy MAP
5. 静态路由（分支访问总部走隧道）
plaintext
ip route-static 192.168.0.0 255.255.255.0 Dialer 1
6. 安全策略
plaintext
security-policy ip
rule 1 permit ip source 192.168.9.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 2 permit udp destination-port eq 500
rule 3 permit esp
四、关键避坑（解决策略路由干扰核心总结）
流量隔离核心
总部原有上网策略路由 ACL 中拒绝两端内网互访流量，这是最根本的解决办法；
IPSec 强制绑定在电信固定 IP 出口G2/0/1，VPN 流量不会走其他出口。
动态 IP 适配
总部用 IPSec 模板 + 野蛮模式，分支 PPPoE 动态 IP 无需固定，拨号上线后自动协商隧道。
算法、密钥、协商模式两端必须完全一致，否则隧道无法建立。
防火墙必放行：UDP 500（IKE）、ESP 协议，否则隧道能建立但不通业务。
五、验证命令（两端通用）
plaintext
# 查看IKE 会话
display ike sa

# 查看IPSec 会话
display ipsec sa

# 测试连通性：分支内网 ping 总部内网
ping 192.168.0.x
六、极简排错步骤
检查两端公网互通：分支 ping 总部公网 IP 202.100.1.1
检查 ACL 感兴趣流方向是否正确
检查预共享密钥、加密算法、DH 组是否一致
检查安全策略是否放行 500 端口、ESP 协议
检查总部上网 ACL 是否已拒绝 VPN 内网流量（解决策略路由干扰的关键）

一、 核心配置思路

1. 分支端（动态IP）：由于是拨号获取的动态公网 IP，必须使用 野蛮模式（Aggressive Mode） 配合身份标识（如 FQDN 或自定义字符串）发起连接。
2. 总部端（固定IP+多出口）：采用 IPsec 模板模式，以便统一管理接收来自动态 IP 分支的连接请求。
3. 解决策略路由冲突：在总部防火墙上，必须将匹配 IPsec 感兴趣流的流量通过 NAT 豁免（拒绝转换），并通过调整策略路由的顺序或增加高优先级的静态路由，确保 VPN 流量走指定的电信 G2/0/1 接口，而不是被其他上网策略路由劫持。

二、 具体配置要点

1. 分支端配置（动态IP接入）

• IKE 提议与密钥：创建 IKE 提议和预共享密钥。
• IKE Profile：设置交换模式为 aggressive（野蛮模式）。本端身份配置为唯一标识（例如 FQDN branch1），对端身份匹配总部的标识（如 FQDN center）。
• IPsec 安全提议与 ACL：定义 ESP 加密算法；配置感兴趣流 ACL，源地址为 192.168.9.0/24，目的地址为 192.168.0.0/24。
• IPsec 策略：调用上述 ACL 和 IKE Profile，远端地址填写总部的固定公网 IP。将策略应用到拨号接口（G1/0/10）上。

2. 总部端配置（固定IP + 策略路由处理）

• IKE Profile 与模板：同样使用 aggressive 模式，本端身份设为 center，匹配对端 branch1。创建 IPsec 模板并关联该 IKE Profile。
• 感兴趣流与安全策略：配置反向的感兴趣流（源 192.168.0.0/24，目的 192.168.9.0/24）。务必在安全策略中放行 Trust 到 Untrust 及 Untrust 到 Trust 的双向 IPsec 流量。
• NAT 豁免（关键）：在 NAT 策略中，添加一条位于最上方的规则，将源 192.168.0.0/24 访问目的 192.168.9.0/24 的流量设置为 不进行源地址转换（NAT Exclusion / 拒绝转换）。如果不做这一步，VPN 数据流会被转换成公网 IP 导致隧道建立但无法通信。

3. 如何避免总部的策略路由影响 VPN 流量？

• 方法 A：利用策略路由的匹配顺序（推荐）
  H3C 的策略路由是按节点（Node）顺序匹配的。您可以新建一个比现有上网策略路由优先级更高（节点号更小）的策略路由节点：
  • 匹配条件：源地址 192.168.0.0/24，目的地址 192.168.9.0/24。
  • 执行动作：指定下一跳或出接口为电信 G2/0/1 对应的网关/接口。
    这样，当防火墙处理去往分支的报文时，会优先命中这条策略，从而避开后续的普通上网策略路由。
• 方法 B：配置明细静态路由
  如果不想改动现有的复杂策略路由，可以在全局路由表中添加一条指向电信出口的明细静态路由：
  ip route-static 192.168.9.0 24 <电信G2/0/1的下一跳网关>
  通常情况下，去往目的地的明细静态路由优先级高于默认路由和部分常规策略路由，能引导 IPsec 封装前的原始报文走向正确的物理接口。

三、 排障建议

1. 确认总部的 NAT 豁免策略是否真正生效（可通过查看 NAT 会话表确认 VPN 流量没有被转换）。
2. 检查总部的安全策略是否有遗漏（特别是 Local 区域与 Untrust 区域之间的 IKE 协商报文 UDP 500/4500 是否被放行）。