#原创分享#记一次与华为路由器的ipsec对接

#原创分享#记一次与华为路由器的ipsec对接

应用背景如下：

1.总部为某公司防火墙，出口路由部署，有固定ip

2.分支为华为路由器，内网路由串进去的，出口ip不固定

基于这种对接条件，选择了ipsec对接，以野蛮模式实现对接

下边开始配置

华为防火墙的配置：

选定vpn对接接口，ike版本选择ikev1（截止到AF8.0.10，AF第三方对接只支持ikev1）

这里由于pfs（完美密钥向前推）进有选择dh群，而某公司设备没有相应的dh群选择，所以双方未开启pfs

在acl中添加允许相互访问的网段

某公司设备配置如下：

建立第一阶段，参数与华为设备保持一致

第二阶段写好允许访问的出入站策略，安全选项的加密方式对照华为设备匹配

接下来就能看到两端互联隧道已经建立正常了

下边我们开始测试数据传输有没有问题

由华为端pc设备ping某公司端下联设备，提示请求超时

按照思路我们先排查路由走向，tracert 某公司端下联设备，第一跳指到了华为路由器，接下来就顺着公网路线出去了，没有显示数据包丢给相应的隧道，后续联系华为原厂工程师支持

经排查，华为没有vpn接口的说法，数据对接接口为设备wan口，华为方反馈要排除出接口nat转换掉vpn的数据，否则在出路由设备时，会导致地址转换，数据已正常上网流量转发出去。

ps:最好开启dpd配置，并以流量触发的形式发起链接，经测试自动触发存在一天后隧道中断不能自动协商的现象

感谢分享，如之前另一个与维盟做ipsec vpn对接一样，同样使用标准协议，但不同厂商的设备总会有一些设计上的差异，同时该案例也可以做为和华为路由器对接的参考材料。很有价值。

您好，感谢您参与社区原创分享计划4，您的文章已被收录到计划中，交由专家评审小组评审，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:

这个不错。马上就要做深信服设备和华为防火墙的对接。正好看看学习一下。

感谢分享

我之前是把SSL_VPN和华为USG防火墙起IPSec，但由于本端出口不稳定，老是需要手动去reset IPSec

必须设置目标地址为感兴趣网段的IP段不做NAT转换才可以

很有用，学习了

与其他厂商对接的案例很实用。

华为的没有接触过，学习了！

向技术员致敬