一、背景

1、需求

因为为了安全的考虑，之前我们的服务都是映射到远程的端口，这样安全隐患比较大，虽然一些端口是不常见的端口，但是离职的人员还是可以知道的，我们需要设置成只能在办公室内才可以连接我们内部的服务，比如很重要的好数据库。

2、设备详情

办公室路由器： H3C ER3108GW 千兆无线路由器。
IDC 防火墙：SecPath F100-S-G

3、网络拓扑

路由器的 LAN 口 IP 为 192.168.1.1，也就是我电脑的网关，我的电脑 IP 为 192.168.1.x。
防火墙的 WAN 口就是配置的公网IP（122.x.x.x），LAN 口为 10.0.2.1 ，所有内部服务器的网关。

4、建立方式

我们的建立方式为办公室的路由器端的IP不固定，IDC的防火墙IP是固定的，所以相当于办公室拨号IDC。

二、ER路由器配置

1、绑定 ipsec 虚接口

设备WEB界面，选择“ ---> IPSEC ---> 虚接口”。单击<新增>按钮，在弹出的对话框中选择一个虚接口通道，比如 ipsec0，并将其与对应的出接口进行绑定（案例中为WAN），单击<增加>按钮完成操作。

2、设置 IKE 安全提议

设备WEB界面选择“ ---> IPSEC ---> IKE安全提议”。单击<新增>按钮，在弹出的对话框中输入安全提议名称，比如我们设置为 one，并设置IKE验证算法和IKE加密算法分别为MD5、3DES，IKE DH组选择“DH2 modp1024”（一般默认为此配置，客户可根据需求配置即可），单击<增加>按钮完成操作。

3、配置 IKE 对等体

通过两端公网 IP 建立连接。

选择“ ---> IPSEC ---> IKE对等体”。单击<新增>按钮，在弹出的对话框中输入对等体名称 one，选择对应的虚接口 ipsec0。在“对端地址”文本框中输入对端公网的IP地址122.x.x.x，协商模式勾选“野蛮模式”，ID类型勾选“IP类型”，并选择已创建的安全提议 one，配置预共享密钥为123456，其余参数保持默认即可，单击<增加>按钮完成操作。

4、设置 IPSEC 安全提议

选择“ ---> IPSEC ---> IPSec安全提议”。单击<新增>按钮，在弹出的对话框中输入安全提议名称 one，选择安全协议类型为 ESP，并设置验证算法和加密算法分别为MD5、3DES，单击<增加>按钮完成操作。

5、配置 IPSEC 安全策略

通过两端的内网 IP 进行建立。

选择“ ---> IPSEC ---> IPSec安全策略”。选中“启用IPSec功能”复选框，单击<应用>按钮生效。单击<新增>按钮，在弹出的对话框中输入安全策略名称，在“本地子网IP/掩码”和“对端子网/IP掩码”文本框中分别输入本端和对端子网信息，并选择协商类型为“IKE协商”、对等体为“one”、安全提议选择已经配置好的“one”，单击<增加>按钮完成操作。

6、添加静态路由

为经过 IPSec *** 隧道处理的报文设置路由，才能使隧道两端互通（一般情况下，只需要为隧道报文配置静态路由即可）：选择“高级设置→路由设置→静态路由”，单击<新增>按钮，在弹出的对话框中输入对端局域网的子网信息，出接口选择 ipsec0，不用填写下一跳地址。

三、防火墙的设定

1、配置 ACL

对于防火墙来说，本网络为10.0.2.0/24 ，对端网络为 192.168.1.0/24，定义要保护由子网10.0.2.0/24去往子网192.168.1.0/24的数据流。

在导航栏中选择“防火墙 --> ACL”，点击新建按钮，如下图所示，输入访问控制列表ID为“3000”，选择匹配规则为“用户配置”，点击确定。

点击 ACL 3000 右侧的详细资料按钮，然后点击新建，勾选源IP和目的IP地址，输入对应的IP地址和通配符，点击确定。

这个 ACL 3000 我们在后面会配置到 IPSec 上面，这样符合的数据量就会不走公网，直接通过 *** 隧道，但是默认是会走公网的，所有我们要在 WAN 接口上面配置拒绝这部分数据流的ACL ，接下来我们配置拒绝的 ACL 3001。

我们现在把 ACL 配置在 WAN 接口上面，让接口拒绝此规则的流量。

2、配置域间策略

为了不影响 nat 端口映射，我们配置域间策略，前提可以是 nat 规则没有使用 ACL ，如果使用了其他的允许通过的 ACL 规则可以不用建立，按照下图建一条规则即可。

3、IKE安全提议设置

ike提议参数，需要和路由器的ike提议参数一致，指定IKE提议使用的认证算法为md5，加密算法3des-cbc。

在导航栏中选择“*** > IKE > 安全提议”点击新建按钮，配置完成后点确定。

4、配置 IKE 对等体

选择野蛮模式，使用 IP 地址进行双方身份验证，因为类似于拨号，对端网关地址允许任何地址，我们选择0.0.0.0，反之，本端 IP 地址为防火墙 WAN 口配置的公网IP 。使用 123456 密码为域共享密码，和对方设备一致即可，启用 NAT 穿越。

5、配置ipsec的安全提议

保持和 ER路由器配置的安全提议一致，配置安全协议对IP报文的封装形式为隧道模式，配置采用的安全协议为ESP，配置ESP协议采用的加密算法为3DES，认证算法为md5。

6、配置ipsec 策略

名称为1 序列号为1，引用ike对等体 1，引用 ACL 3000，引用 ipsec安全提议1，这里引用 ACL 3000是为了让 WAN口拒绝的数据量走向这里。

7、配置 ipsec 应用

在导航栏中选择“*** > IPSEC > 应用” ，选择公网接口右侧的设置接口应用按钮，策略名称选择1，点击确定应用该策略。

四、验证结构

现在我们使用办公室的一台 PC 电脑进行 ping 来触发IPSec的建立。

我们可以看到已经可以 ping 通 IDC 内部的机器，证明我们已经建立好了，我们可以通过路由器和防火墙的安全联盟看到建立的状态。

注意事项

防火墙需要把接口加入安全域，在V5防火墙默认的域间规则情况下，还需要放通外网到内网的安全域。
两台网关设备公网ip之间路由可达。
两台网关设备使用的ike和ipsec的安全提议必须保持一致。

以上内容感谢 H3C 客服 cs3645 的耐心指导。