华三（H3C）防火墙配置IPsec

以下是华三（H3C）防火墙配置IPsec的详细步骤及关键注意事项：

二、IKE协商配置

1. 创建IKE提议
   定义加密算法、认证算法和DH组：

   ike proposal 10 encryption-algorithm aes-cbc-128 # 加密算法 authentication-algorithm sha256 # 认证算法 dh group2 # DH组（建议使用2或14）

2. 配置IKE密钥链
   设置预共享密钥（Pre-Shared Key）：

   ike keychain VPN-Keychain pre-shared-key address 2.2.2.2 key simple 123456 # 对端公网IP及密钥

3. 创建IKE Profile
   绑定密钥链、提议和对端地址：

   ike profile VPN-Profile keychain VPN-Keychain match remote identity address 2.2.2.2 # 对端IP proposal 10

三、IPsec隧道配置

1. 定义感兴趣流（ACL）
   匹配需加密的内网流量（可精细控制需要放行通过的网段或ip）：

   acl advanced 3000 rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255

2. 创建IPsec安全提议
   指定ESP协议的加密和认证算法：

   ipsec transform-set VPN-Transform esp encryption-algorithm aes-cbc-128 esp authentication-algorithm sha1

3. 配置IPsec策略
   绑定IKE Profile、安全提议和ACL：

   ipsec policy-template VPN-Template 10 security acl 3000 transform-set VPN-Transform ike-profile VPN-Profile

4. 应用策略到接口
   将IPsec策略绑定到外网接口：

   interface GigabitEthernet1/0/3 ipsec apply policy VPN-Template

四、安全策略与NAT配置

1. 放行IPsec流量
   允许Trust域到Untrust域的IPsec加密流量：

security-policy ip rule 2 name t2u #让trust去往untrust，内网对外访问。 action pass source-zone trust destination-zone untrust rule 3 name ipsec #防火墙允许ipsecVPN local和untrust区域互访，让两防火墙的对外接口允许ipsecvpn互访。 action pass source-zone local source-zone untrust destination-zone untrust destination-zone local source-ip-host 1.1.1.1 source-ip-host 2.2.2.2 destination-ip-host 1.1.1.1 destination-ip-host 2.2.2.2 rule 4 name u2t #规则允许untrust区域可以访问trust区域，用于让远端172.16.0.0网段区访问本端192.168.0.0网段 action pass source-zone untrust destination-zone trust source-ip-subnet 172.16.10.0 255.255.255.0 #控制只让172.16.10.0网段的地址访问192.168.0.0网段，172.16.20、30、40网段访问不了。 destination-ip-subnet 192.168.10.0 255.255.255.0 #控制只让172.16.10.0网段的地址访问192.168.10.0网段192.168.20、30网段访问不了。 #

2. NAT豁免配置
   确保IPsec流量不进行地址转换：

   acl advanced 3888 rule 0 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 interface GigabitEthernet1/0/3 nat outbound 3888

五、验证与调试

1. 查看IKE和IPsec SA状态

   display ike sa # 检查IKE协商状态 display ipsec sa # 查看IPsec隧道状态

2. 测试内网互通

   ping 192.168.20.1 # 分支机构内网地址

六、注意事项

1. 版本差异
   • H3C V7版本使用ike profile替代旧版ike peer，需注意命令兼容性。
   • 若对端为华三设备，建议使用主模式（Main Mode）协商。
2. 参数一致性
   • 两端的IKE提议、加密算法、DH组和预共享密钥必须完全一致。
3. 安全建议
   • 使用高强度密钥（如AES-256），避免使用DH Group 5（仅兼容旧设备）。

通过以上步骤，可完成华三防火墙的IPsec VPN配置。若需进一步优化，可调整ACL规则、启用Perfect Forward Secrecy（PFS）或配置动态路由协议（如OSPF）支持动态IP。