参考手册吧

12-IPsec配置-新华三集团-H3C

MER8300 IKEv2 IPSec 总部固定 IP + 分支（静态 / 动态 IP）完整配置

一、组网规划（通用示例）

• 总部 MER8300（固定公网 IP）
  公网 WAN1：203.0.100.10/24
  内网网段：192.168.10.0/24
• 分支 MER8300 分两种场景
  场景 1：分支固定公网 IP 203.0.200.20/24，内网 192.168.20.0/24
  场景 2：分支 PPPoE/DHCP 动态 IP，内网 192.168.30.0/24
• 预共享密钥：H3C@VPN2026
• IKEv2 统一参数（两端必须完全一致）
  IKEv2 提议：AES-256、SHA2-256、DH14、PRF SHA2-256
  IPSec 提议：ESP AES-256 SHA2-256，隧道模式
  DPD：开启，30s 探测，120s 超时

二、关键说明：IKEv2 对比 IKEv1 区别

1. IKEv2无主 / 野蛮模式区分，统一 4 报文协商；分支动态 IP 无需野蛮模式，依靠ID 名称认证即可协商
2. 总部固定 IP 用IKEv2 策略模板兼容所有动态分支；静态分支直接固定对端 IP
3. 自动 NAT-T 穿越，多层运营商 NAT 环境无需额外配置
4. MER8300 Web 界面支持一键 IKEv2，同时附命令行全套配置

第一部分：总部 MER8300 配置（固定公网 IP，兼容静态 / 动态分支）

方式 1：Web 界面配置（推荐，现场操作）

1. 地址对象（定义两端内网）

VPN→IPSec VPN→地址对象，新增：

• 总部内网：HQ 192.168.10.0/24
• 分支静态网段：BR_STA 192.168.20.0/24
• 分支动态网段：BR_DYN 192.168.30.0/24

2. IKEv2 安全提议

VPN→IPSec VPN→IKEv2 安全提议→新增

• 名称：IKEV2-PROP
• 加密：AES-256-CBC
• 认证：SHA2-256
• DH 组：GROUP14
• PRF：SHA2-256

3. IPSec 安全提议

VPN→IPSec VPN→IPSec 安全提议→新增

• 名称：IPSEC-PROP
• 协议：ESP
• 加密：AES-256
• 认证：SHA2-256
• 封装：隧道模式

4. IKEv2 对等体（模板模式，适配动态分支）

VPN→IPSec VPN→IKEv2 对等体→新增

• 对等体名：IKEV2-TEMPLATE
• 协商版本：IKEv2
• 虚接口：IPSEC0（自动创建）
• 对端地址：0.0.0.0（模板，接收任意动态分支）
• ID 类型：名称
• 本端 ID：HQ-GW
• 对端 ID：BR-GW（所有分支统一分支 ID）
• 预共享密钥：H3C@VPN2026
• 安全提议：绑定 IKEV2-PROP
• DPD 开启，探测间隔 30s

5. IPSec 安全策略模板（核心，动态分支专用）

VPN→IPSec VPN→IPSec 安全策略→新增【策略模板】

• 名称：IPSEC-TPL
• 接口：WAN1（公网出口）
• 组网：总部节点
• IKE 版本：IKEv2
• IKE 对等体：IKEV2-TEMPLATE
• IPSec 提议：IPSEC-PROP
• 保护流：本端 HQ，对端 BR_DYN
• 生存周期：IKE 86400s，IPSec 3600s
• 开启 NAT-T

6. 静态 IP 分支额外策略（固定 IP 分支单独条目）

新增 IPSec 策略（非模板）

• 名称：IPSEC-BRSTA
• 接口 WAN1，组网总部节点
• IKEv2，对端网关 203.0.200.20
• ID 名称：本端 HQ-GW，对端 BR-GW
• 密钥同前，绑定 IKE/IPSEC 提议
• 保护流：HQ ↔ BR_STA

7. 放行防火墙、关闭感兴趣流 NAT

1. 安全设置→防火墙，放行 WAN1 入站 UDP 500/4500（IKEv2/NAT-T）
2. 高级→NAT→出站 NAT，新增 ACL 排除内网互访流量：
   源 192.168.10.0/24 目的 192.168.20.0/24、192.168.30.0/24，不做 NAT

方式 2：总部完整命令行配置

bash

运行

# 1. 地址对象 ip address-object HQ 192.168.10.0 255.255.255.0 ip address-object BR_STA 192.168.20.0 255.255.255.0 ip address-object BR_DYN 192.168.30.0 255.255.255.0 # 2. IKEv2提议 ikev2 proposal IKEV2-PROP encryption-algorithm aes-256-cbc integrity-algorithm sha2-256 prf sha2-256 dh group14 # 3. IPSec提议 ipsec proposal IPSEC-PROP esp encryption-algorithm aes-256 esp authentication-algorithm sha2-256 encapsulation-mode tunnel # 4. 预共享密钥库 ike keychain VPN-KEY pre-shared-key simple H3C@VPN2026 remote-id name BR-GW # 5. IKEv2 Profile（模板，接收动态分支） ikev2 profile IKEV2-TEMPLATE match remote identity name BR-GW keychain VPN-KEY proposal IKEV2-PROP dpd interval 30 timeout 120 nat-traversal enable # 6. IPSec策略模板（动态分支） ipsec policy-template TPL-BR-DYN 1 transform-set IPSEC-PROP ikev2-profile IKEV2-TEMPLATE security acl 3000 remote-address 0.0.0.0 # 7. 静态分支固定策略 ipsec policy POL-BR-STA 10 isakmp remote-address 203.0.200.20 transform-set IPSEC-PROP ikev2-profile IKEV2-TEMPLATE security acl 3001 # 8. WAN接口应用策略 interface GigabitEthernet 0/0 port link-mode route ip address 203.0.100.10 255.255.255.0 ipsec policy use POL-HQ isakmp template TPL-BR-DYN nat outbound 3999 # 9. ACL区分感兴趣流 acl number 3000 rule permit ip source address-object HQ destination address-object BR_DYN acl number 3001 rule permit ip source address-object HQ destination address-object BR_STA acl number 3999 rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 rule permit ip any any

第二部分：分支配置（分 2 种场景）

场景 A：分支固定公网 IP（203.0.200.20，内网 192.168.20.0/24）

Web 核心配置

1. 地址对象 BR_STA、HQ
2. IKEv2/IPSec 提议参数与总部完全一致
3. IKEv2 对等体：对端网关填总部固定 IP 203.0.100.10，ID 名称本端 BR-GW、对端 HQ-GW
4. IPSec 策略：组网选分支机构，对端网关 203.0.100.10，保护流 BR_STA ↔ HQ
5. 防火墙放行 UDP500/4500，NAT 排除 VPN 流量

场景 B：分支动态公网 IP（PPPoE/DHCP，内网 192.168.30.0/24，最常用）

Web 核心差异点（动态 IP 重点）

1. IKEv2 对等体→对端网关填写总部固定公网 IP（必须写总部 IP，分支自身 IP 动态不用填）
2. ID 名称：本端 BR-GW，对端 HQ-GW，密钥和总部一致
3. IPSec 策略组网：分支机构，对端网关填总部 203.0.100.10
4. 无需模板，分支主动发起 IKEv2 协商，总部模板接收动态 IP
5. 若多层 NAT，保持 NAT-T 开启即可自动穿越

动态分支命令行核心片段

bash

运行

# IKEv2 profile 指定总部ID ikev2 profile IKEV2-BR match remote identity name HQ-GW keychain VPN-KEY proposal IKEV2-PROP dpd interval 30 timeout 120 nat-traversal enable # IPSec策略，对端固定总部IP ipsec policy POL-TO-HQ 10 isakmp remote-address 203.0.100.10 transform-set IPSEC-PROP ikev2-profile IKEV2-BR security acl 3000 # 公网接口应用策略 interface Dialer 0 // PPPoE拨号口 ipsec policy POL-TO-HQ isakmp nat outbound 3999

三、必配强制要求（缺一不可，协商失败高频坑）

1. IKEv2/IPSec 加密、认证、DH 组两端完全相同
   算法不一致直接无法建立 SA；推荐 AES256+SHA2-256+DH14，兼容性最强
2. ID 名称两端严格对应
   总部本端 ID=HQ-GW、分支对端 ID=HQ-GW；分支本端 ID=BR-GW、总部对端 ID=BR-GW
   IKEv2 依靠 ID 认证，动态 IP 场景不能用 IP 类型 ID，必须用名称 ID
3. UDP 500/4500 放行
   两端公网接口防火墙允许入站 UDP500（IKEv2）、4500（NAT-T），运营商光猫 / 防火墙同步放行
4. 感兴趣流排除 NAT
   内网互访流量禁止做出口 NAT，否则加密报文被转换，隧道不通
5. 总部必须用策略模板兼容动态分支
   动态分支无法预先获取公网 IP，总部策略模板 remote-address 0.0.0.0 接收所有分支协商
6. DPD 开启
   线路断线自动删除 SA，分支可自动重连

四、排错验证命令（MER8300 控制台）

bash

运行

# 查看IKEv2 SA display ikev2 sa # 查看IPSec SA display ipsec sa # 查看IKE协商报文统计 display ikev2 statistics # 查看IPSec加密流量 display ipsec statistics # 测试感兴趣流路由 ping 对端内网IP # 跟踪协商故障 debugging ikev2 all terminal debugging

五、典型故障速查

1. 第一阶段 IKEv2 协商失败
   • ID 名称不匹配、预共享密钥不一致、防火墙拦截 500/4500、算法参数不统一
2. IKE SA 建立，IPSec SA 无法生成
   • ACL 感兴趣流写反、内网网段填写错误、NAT 未排除 VPN 流量
3. 分支动态 IP 协商不通
   • 总部未使用策略模板、ID 类型选错（用了 IP 而非名称）、运营商多层 NAT 未开 NAT-T
4. 隧道隔段时间断流
   DPD 未开启，生存周期两端不一致，修改 IKE/IPSec 生命周期统一为 86400/3600