#实验目标：H3C防火墙在基于ACL的接口NAT下进行IPsec VPN总部分支互联的（web）配置案例

（文末上传了一个HCL的实验环境,感兴趣的可以试试）

通过HCL进行总部与分支建立IPsec VPN的web配置

总干部防火墙同时代理站内上网所有配置有基于ACL的接口NAT代理访问公网

防火墙通过web管理口端口为GE1/0/0，安全域为Management。

主站防火墙管理IP：192.168.188.141

分站防火墙管理IP：192.168.188.142

使用HOST_1用于直连本地网卡

进行防火墙web配置前使用命令行配置管理口地址为本地网卡同段IP，以便进行后续实验。

两台防火墙分别通过模拟的公网地址1.1.1.2、2.1.1.2访问公网以及进行IPsec VPN的互联。

主站172.16.0.1/24代表主站内网PC通过IPsec VPN与分站192.168.0.1网段互通

由于节约计算资源目的，分站使用loopback 口代替内网段，实际操作中只需要注意将对local安全域

改为Trust安全域即可。

交换机

GE1/0/1、GE1/0/2、GE1/0/5 归属vlan2（管理vlan）

GE1/0/3归属vlan3，IP地址1.1.1.1（主站外网）

GE1/0/4归属vlan4，IP地址2.1.1.1（分站外网）

实验步骤：

1、命令行配置防火墙管理地址及登录限制(两台防火墙均需配置)

①配置口地址

interface GigabitEthernet1/0/0

ip address 192.168.188.XXX 255.255.255.0 ##两台防火墙的管理IP不同

②将1/0/0口加入管理域

security-zone name Management

import interface GigabitEthernet1/0/0

③配置acl用于放行管理数据流

acl basic 2000

rule 0 permit

④引用acl2000配置local与management安全域之间的管理放行

zone-pair security source Local destination Management

packet-filter 2000

zone-pair security source Management destination Local

packet-filter 2000

2、登录管理界面

下面在本机已经可以ping通防火墙管理地址了，打开浏览器，默认账号密码均为admin初次登录需要修改密码

①、基本网络

不再赘述上截图

主站防火墙网络接口IP与安全域设置

分站防火墙网络接口与安全域配置

②配置主站基于acl的NAT代理上网easyIP

③放行上网流量

策略——安全策略——安全策略——新建

源安全域：Trust，源地址：本地内网IP：172.16.0.0/24，目的安全域：Untrust，目的地址：对端内网地址：192.178.0.0/24,动作：允许。

测试一下内网PC已经可以访问公网了，ping一下1.1.1.1或者2.1.1.1

分站是否代理上网看实际需求，在这里就不再贴图

③配置主站IPSec VPN配置

网络——VPN——IPsec——策略——新建

策略名:自定义，优先级：1，设备角色：对等/分支节点，IP地址类型：IPV4,接口：GE1/0/1 自动带入接口地址1.1.1.2，对端IP地址/主机名：2.1.1.2

协商模式：野蛮模式，认证方式：预共享密钥，填入预共享密钥：TEST@123456，IKE提议——新建

本端ID：方式选择User-FQDB：yqxz，对端ID：选择User-FQDN：tyxz。

以上内容主站、分支没有什么区别，在ID和IP地址根据实际配置选择即可

创建主站保护的数据流（其他厂商有些叫做感兴趣数流）源IP地址：本地内网地址，目的IP地址：对端内网IP地址段，其他默认。

触发模式：自动触发（会维持链接状态，不会出现初始流量丢包，但是费资源）

策略高级配置部分

封装模式：隧道模式，安全协议：ESP。认证算法：MD5，加密算法3DES-CBC，两台墙一样就行。

④分站按照以上基本保持相同，除ID、IP天然本端对端对应配置信息即可。

3配置防火墙安全策略

①在两端防火墙均创建安全策略

策略——安全策略——安全策略——新建，创建一条ipsec放行

源区域：Untrust, Local，源地址：<1.1.1.2和2.1.1.2 即两端公网出口地址>

目的区域：Untrust, Local，目的地址：<1.1.1.2和2.1.1.2 即两端公网出口地址>

②配置完成后在VPN——IPsec——监控

配置没有问题即可在这里看到建立成功的隧道

到这里，发现IPsec VPN的隧道连接已经建立成功，

③策略——安全策略——安全策略——新建

放行站点间互访流量。

但是无法访问，即便在PC进行ping，到这里发现总部无法ping通分站IP。在隧道——详情——隧道统计，也没有数据流量。

什么原因？其实是由于接口NAT转换的优先级高于IPsec匹配，那么

配置acl规则将需要进隧道的数据进行过滤

④创建acl

对象——ACL——IPV4——新建 选择高级acl名称从3000开始

确定——ACL创建成功，是否添加规则？选择“是”

规则编号0：动作：拒绝，匹配源IP地址/通配符:本地内网的网络号和通配符掩码（不会的用工具自己算），匹配目的IP地址/通配符掩码：填对端地址段信息和通配符掩码。

新建第二条规则：编号5，动作允许，其他留空。

完成效果

⑤在端口NAT应用新的ACL

策略——接口NAT——IPV4——NAT动态转换——NAT出方向动态转换（基于ACL）——编辑——选择ACL3001

⑥在分站配置两地内网互访放行

源目安全域均写：Untrust、trust，源目IP地址均写：<172.16.0.0/24、192.168.0.0/24>，动作允许

到站内PC，ping对端内网

隧道统计也由匹配数了

HCL实验导出的工程，直接使用H3C HCL模拟器打开工程即可，欢迎交流。

https://download.csdn.net/download/weixin_50640172/89140832