一、背景

1、需求

因為為了安全的考慮，之前我們的服務都是對映到遠端的埠，這樣安全隱患比較大，雖然一些埠是不常見的埠，但是離職的人員還是可以知道的，我們需要設定成只能在辦公室內才可以連線我們內部的服務，比如很重要的好資料庫。

2、裝置詳情

辦公室路由器： H3C ER3108GW 千兆無線路由器。

IDC 防火牆：SecPath F100-S-G

3、網路拓撲

路由器的 LAN 口 IP 為 192.168.1.1，也就是我電腦的閘道器，我的電腦 IP 為 192.168.1.x。

防火牆的 WAN 口就是配置的公網IP（122.x.x.x），LAN 口為 10.0.2.1 ，所有內部伺服器的閘道器。

4、建立方式

我們的建立方式為辦公室的路由器端的IP不固定，IDC的防火牆IP是固定的，所以相當於辦公室撥號IDC。

二、ER路由器配置

1、繫結 ipsec 虛介面

裝置WEB介面，選擇“VPN —> IPSEC VPN —> 虛介面”。單擊<新增>按鈕，在彈出的對話方塊中選擇一個虛介面通道，比如 ipsec0，並將其與對應的出介面進行繫結（案例中為WAN），單擊<增加>按鈕完成操作。

2、設定 IKE 安全提議

裝置WEB介面選擇“ VPN —> IPSEC VPN —> IKE安全提議”。單擊<新增>按鈕，在彈出的對話方塊中輸入安全提議名稱，比如我們設定為 one，並設定IKE驗證演算法和IKE加密演算法分別為MD5、3DES，IKE DH組選擇“DH2 modp1024”（一般預設為此配置，客戶可根據需求配置即可），單擊<增加>按鈕完成操作。

3、配置 IKE 對等體

通過兩端公網 IP 建立連線。

選擇“VPN —> IPSEC VPN —> IKE對等體”。單擊<新增>按鈕，在彈出的對話方塊中輸入對等體名稱 one，選擇對應的虛介面 ipsec0。在“對端地址”文字框中輸入對端公網的IP地址122.x.x.x，協商模式勾選“野蠻模式”，ID型別勾選“IP型別”，並選擇已建立的安全提議 one，配置預共享金鑰為123456，其餘引數保持預設即可，單擊<增加>按鈕完成操作。

4、設定 IPSEC 安全提議

選擇“VPN —> IPSEC VPN —> IPSec安全提議”。單擊<新增>按鈕，在彈出的對話方塊中輸入安全提議名稱 one，選擇安全協議型別為 ESP，並設定驗證演算法和加密演算法分別為MD5、3DES，單擊<增加>按鈕完成操作。

5、配置 IPSEC 安全策略

通過兩端的內網 IP 進行建立。

選擇“VPN —> IPSEC VPN —> IPSec安全策略”。選中“啟用IPSec功能”核取方塊，單擊<應用>按鈕生效。單擊<新增>按鈕，在彈出的對話方塊中輸入安全策略名稱，在“本地子網IP/掩碼”和“對端子網/IP掩碼”文字框中分別輸入本端和對端子網資訊，並選擇協商型別為“IKE協商”、對等體為“one”、安全提議選擇已經配置好的“one”，單擊<增加>按鈕完成操作。

6、新增靜態路由

為經過 IPSec VPN 隧道處理的報文設定路由，才能使隧道兩端互通（一般情況下，只需要為隧道報文配置靜態路由即可）：選擇“高階設定→路由設定→靜態路由”，單擊<新增>按鈕，在彈出的對話方塊中輸入對端區域網的子網資訊，出介面選擇 ipsec0，不用填寫下一跳地址。

三、防火牆的設定

1、配置 ACL

對於防火牆來說，本網路為10.0.2.0/24 ，對端網路為 192.168.1.0/24，定義要保護由子網10.0.2.0/24去往子網192.168.1.0/24的資料流。

在導航欄中選擇“防火牆 –> ACL”，點選新建按鈕，如下圖所示，輸入訪問控制列表ID為“3000”，選擇匹配規則為“使用者配置”，點選確定。

點選 ACL 3000 右側的詳細資料按鈕，然後點選新建，勾選源IP和目的IP地址，輸入對應的IP地址和萬用字元，點選確定。

這個 ACL 3000 我們在後面會配置到 IPSec 上面，這樣符合的資料量就會不走公網，直接通過 VPN 隧道，但是預設是會走公網的，所有我們要在 WAN 介面上面配置拒絕這部分資料流的ACL ，接下來我們配置拒絕的 ACL 3001。

我們現在把 ACL 配置在 WAN 介面上面，讓介面拒絕此規則的流量。

2、配置域間策略

為了不影響 nat 埠對映，我們配置域間策略，前提可以是 nat 規則沒有使用 ACL ，如果使用了其他的允許通過的 ACL 規則可以不用建立，按照下圖建一條規則即可。

3、IKE安全提議設定

ike提議引數，需要和路由器的ike提議引數一致，指定IKE提議使用的認證演算法為md5，加密演算法3des-cbc。

在導航欄中選擇“VPN > IKE > 安全提議”點選新建按鈕，配置完成後點確定。

4、配置 IKE 對等體

選擇野蠻模式，使用 IP 地址進行雙方身份驗證，因為類似於撥號，對端閘道器地址允許任何地址，我們選擇0.0.0.0，反之，本端 IP 地址為防火牆 WAN 口配置的公網IP 。使用 123456 密碼為域共享密碼，和對方裝置一致即可，啟用 NAT 穿越。

5、配置ipsec的安全提議

保持和 ER路由器配置的安全提議一致，配置安全協議對IP報文的封裝形式為隧道模式，配置採用的安全協議為ESP，配置ESP協議採用的加密演算法為3DES，認證演算法為md5。

6、配置ipsec 策略

名稱為1 序列號為1，引用ike對等體 1，引用 ACL 3000，引用 ipsec安全提議1，這裡引用 ACL 3000是為了讓 WAN口拒絕的資料量走向這裡。

7、配置 ipsec 應用

在導航欄中選擇“VPN > IPSEC > 應用” ，選擇公網介面右側的設定介面應用按鈕，策略名稱選擇1，點選確定應用該策略。

四、驗證結構

現在我們使用辦公室的一臺 PC 電腦進行 ping 來觸發IPSec的建立。

我們可以看到已經可以 ping 通 IDC 內部的機器，證明我們已經建立好了，我們可以通過路由器和防火牆的安全聯盟看到建立的狀態。

注意事項

防火牆需要把介面加入安全域，在V5防火牆預設的域間規則情況下，還需要放通外網到內網的安全域。

兩臺VPN閘道器裝置公網ip之間路由可達。

兩臺vpn閘道器裝置使用的ike和ipsec的安全提議必須保持一致。

以上內容感謝 H3C 客服 cs3645 的耐心指導。

     本文轉自 wzlinux 51CTO部落格，原文連結：

http://blog.51cto.com/wzlinux/2062105

，如需轉載請自行聯絡原作者