#原创分享#记一次与华为路由器的ipsec对接

每天坚持打卡学习签到！！

#原创分享#记一次与华为路由器的ipsec对接

应用背景如下：

1.总部为某公司防火墙，出口路由部署，有固定ip

2.分支为华为路由器，内网路由串进去的，出口ip不固定

基于这种对接条件，选择了ipsec对接，以野蛮模式实现对接

下边开始配置

华为防火墙的配置：

选定vpn对接接口，ike版本选择ikev1（截止到AF8.0.10，AF第三方对接只支持ikev1）

这里由于pfs（完美密钥向前推）进有选择dh群，而某公司设备没有相应的dh群选择，所以双方未开启pfs

在acl中添加允许相互访问的网段

某公司设备配置如下：

建立第一阶段，参数与华为设备保持一致

第二阶段写好允许访问的出入站策略，安全选项的加密方式对照华为设备匹配

接下来就能看到两端互联隧道已经建立正常了

下边我们开始测试数据传输有没有问题

由华为端pc设备ping某公司端下联设备，提示请求超时

按照思路我们先排查路由走向，tracert 某公司端下联设备，第一跳指到了华为路由器，接下来就顺着公网路线出去了，没有显示数据包丢给相应的隧道，后续联系华为原厂工程师支持

经排查，华为没有vpn接口的说法，数据对接接口为设备wan口，华为方反馈要排除出接口nat转换掉vpn的数据，否则在出路由设备时，会导致地址转换，数据已正常上网流量转发出去。

ps:最好开启dpd配置，并以流量触发的形式发起链接，经测试自动触发存在一天后隧道中断不能自动协商的现象