第三方IPsec对接H3C防火墙实现总部分支互访配置案例分享

总部使用深信服AF或者SSL VPN设备有第三方对接授权，现在有一个分支使用H3CUSG防火墙需要与总部内网互通

大概就是这么一个拓扑

总部sangfor设备配置的第三方配

第一阶段 总部节点 野蛮模式、预共享秘钥认证，IKE 加密算法采用MD5、3DES、DH组2  

IKE版本使用V1

身份ID采用：tyxz，开启DPD检测 ，其他默认配置

第二阶段 入站地址为分支内网172.16.0.1/24，出站为本地地址192.168.0.0/24

那么在这里根据需要配置H3C设备

1、H3C防火墙接口配置

2、安全域配置

3、华三防火墙还代理了内部上网在这采用了接口NAT

4、放行上网的安全策略

策略——安全策略——安全策略——新建

源安全域：Trust，源地址：本地内网IP：172.16.0.0/24，目的安全域：Untrust，目的地址：any,动作：允许。

测试内网已经可以访问外网了

5、配置IPsecVPN

网络——VPN——IPsec——策略——新建

新建IKE提议

本端ID：方式选择User-FQDB：yqxz，对端ID：选择User-FQDN：tyxz。

以上内容主站、分支没有什么区别，在ID和IP地址根据实际配置选择即可

创建主站保护的数据流（其他厂商有些叫做感兴趣数流）源IP地址：本地内网地址，目的IP地址：对端内网IP地址段，其他默认。

6、为建立IPsec需要放行防火墙安全策略

在H3C防火墙创建安全策略

策略——安全策略——安全策略——新建，创建一条ipsec放行

源区域：Untrust, Local，源地址：< 即两端公网出口地址>

目的区域：Untrust, Local，目的地址：<两端公网出口地址>

配置完成后在VPN——IPsec——监控

配置没有问题即可在这里看到建立成功的隧道

到这里，发现IPsec VPN的隧道连接已经建立成功，

在两端的安全策略中均

放行两地内网互访流量，但ping会发现 隧道中没有数据发出

在隧道——详情——隧道统计，也没有数据流量。

分析一下什么原因？

其实是由于接口NAT转换的优先级高于IPsec匹配，那么

在这里配置acl规则将需要进隧道的数据进行过滤，不进行NAT地址转换即可

创建acl规则

对象——ACL——IPV4——新建 选择高级acl名称从3000开始

添加规则编号0：动作：拒绝，

进行匹配源IP地址/通配符:本地内网的网络号和通配符掩码172.16.0.0   0.0.0.255

匹配目的IP地址/通配符掩码：填对端地址段信息和通配符掩码192.168.0.0 0.0.0.255。

新建第二条规则：编号5，动作允许，其他留空。

这是完成效果

下一步把acl应用到接口NAT

华三的隧道统计也由匹配数了

两站互通完成。

感谢大佬分享经验，学习了！！！！！！！！！！！！！！

每日一积累慢慢变专家

每日一积累慢慢变专家

每日一积累慢慢变专家

每日一积累慢慢变专家

每日一积累慢慢变专家

感谢分享，有助于工资和学习！

感谢分享，有助于工资和学习！

感谢大佬分享经验，学习了！