省市县三层机构集中到省级机关统一从省级防火墙互联网出口访问互联网

一、组网现状梳理
设备层级
省级出口：H3C F1060（互联网出口，核心 VPN 网关）
市级分支：H3C F1020（已与省建立 IPSec，实现走省统一上网）
县级分支：华为 USG6525E（IPSec 仅通到市，无法直达省统一出口）
当前问题根因
县级流量仅能建立县 - 市一级 IPSec 隧道，没有直达省级的隧道 / 路由转发，流量卡在市级，无法穿透到省互联网出口；分两类场景方案：
方案 1（推荐最优）：县 ↔ 省 直连 IPSec 隧道（二级隧道，无中转）
方案 2（中转模式）：县→市 IPSec，市做 NAT / 路由中转转发至省隧道（仅县级设备不支持多隧道时使用）
方案 1：县级 USG6525E 与省级 F1060 建立直连 IPSec（推荐，性能最优、排错简单）
核心逻辑
省级 F1060 同时存在两类 IPSec 隧道：市 F1020、县 USG6525E；
所有市、县内网路由全部下发至省级，统一从省防火墙互联网出口上网；
安全策略分别放行省 <-> 市、省 <-> 县的 VPN 内网流量，以及内网访问互联网流量。
1、省级 F1060（H3C）新增县级 IPSec 配置
① 定义县级内网 ACL、对等体、IKE/IPSec 策略
bash
运行
system-view
# 1. 定义县级内网网段（示例：县10.3.0.0/16，市10.2.0.0/16，省10.1.0.0/16）
acl number 3002
rule permit ip source 10.1.0.0 0.0.255.255 destination 10.3.0.0 0.0.255.255
rule permit ip source 10.3.0.0 0.0.255.255 destination any # 县内网访问互联网
# 2. IKE对等体（县级USG公网IP：203.0.XX.XX）
ike peer COUNTY pre-shared simple 123456@abc
ike peer COUNTY ike-proposal 10
ike peer COUNTY remote-identity ip 203.0.XX.XX
# 3. IKE提议
ike proposal 10
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
# 4. IPSec提议
ipsec proposal COUNTY-PROP
esp encryption-algorithm aes-256
esp authentication-algorithm sha2-256
# 5. IPSec策略模板（适配华为USG）
ipsec map COUNTY-MAP isakmp template 10
template 10 proposal COUNTY-PROP
template 10 remote-peer 203.0.XX.XX
template 10 security acl 3002
template 10 ike-peer COUNTY
# 6. 绑定外网接口（省互联网出口接口G0/0）
interface GigabitEthernet 0/0
ipsec map COUNTY-MAP
# 7. 路由：回程县级网段路由指向IPSec隧道
ip route-static 10.3.0.0 255.255.0 Tunnel0 mode ipsec
# 8. 安全策略放行：县内网访问互联网、省县互访
security-policy ip
rule 20 permit source-zone vpn destination-zone untrust source 10.3.0.0 0.0.255.255
rule 21 permit source-zone trust destination-zone vpn destination 10.3.0.0 0.0.255.255
2、县级华为 USG6525E 配置直连省级 IPSec 隧道
bash
运行
# 1. 配置IKE提议、对等体、预共享密钥
ike proposal 10
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
ike peer PROV pre-shared-key simple 123456@abc
ike peer PROV proposal 10
ike peer PROV remote-ip 202.0.XX.XX # 省级F1060公网IP
# 2. IPSec提议
ipsec proposal PROV-PROP
esp encryption-algorithm aes-256
esp authentication-algorithm sha2-256
# 3. IPSec策略，保护县内网所有流量（访问省/互联网）
acl number 3000
rule permit ip source 10.3.0.0 0.0.255.255 destination any
ipsec policy-map PROV-MAP 10 isakmp
security acl 3000
proposal PROV-PROP
ike-peer PROV
# 4. 外网接口绑定IPSec策略
interface GigabitEthernet 0/0
ipsec policy-map PROV-MAP
# 5. 默认路由全部下发至IPSec隧道，所有流量走省出口
ip route-static 0.0.0.0 0 Tunnel0 mode ipsec
# 6. 安全策略放行本地内网→VPN隧道
security-policy
rule name LOCAL_TO_VPN
source-zone local trust
destination-zone vpn
action permit
方案 1 优势
县流量直达省级，不经过市级防火墙，无二次转发性能损耗；
故障隔离：市县互不影响，市级故障不阻断县级上网；
路由逻辑简单，仅两端互指网段，排错直观。
方案 2：县→市 IPSec 中转（仅县级无法建立第二条 IPSec 时使用）
逻辑：县级只建立「县 - 市」隧道，市级防火墙做路由转发，把县级流量二次封装进「市 - 省」IPSec 隧道，最终送往省级互联网出口
关键配置（市级 F1020 中转核心）
市级 F1020 同时存在两条 IPSec 隧道：县接入隧道、上联省隧道；
配置双向静态路由，将县级网段路由发布至省级隧道，省级回程路由下发至市级；
开启 VPN 路由转发，放行县级流量转发至省方向。
bash
运行
# 1. 路由配置：县级网段路由指向县IPSec隧道，所有外网流量转发至省隧道
ip route-static 10.3.0.0 255.255.0 Tunnel1 mode ipsec # Tunnel1=县接入隧道
ip route-static 0.0.0.0 0 Tunnel0 mode ipsec # Tunnel0=上联省级隧道
# 2. 安全策略放行VPN之间中转流量
security-policy ip
rule 30 permit source-zone vpn destination-zone vpn source 10.3.0.0 0.0.255.255
# 3. IPSec允许跨隧道转发
ipsec forwarding enable
方案 2 短板
所有县级流量两次封装解封装，市级设备 CPU 负载翻倍；
市级故障直接导致全县断网，单点故障；
路由层级复杂，出现丢包、访问缓慢时排错链路长。
三、通用互通校验 & 故障排查
1、隧道连通校验
省级 F1060：display ipsec session、display ike session 查看隧道协商状态
县级 USG：display ike sa、display ipsec sa 确认 SA 协商成功
2、路由校验（最常见不通根因）
省级必须存在县级内网回程路由，指向 IPSec 隧道接口；
县级必须配置默认路由0.0.0.0/0下发 IPSec 隧道，所有互联网流量转发至省；
中转模式下市级必须同时存在县、省双向网段路由。
3、高频故障点
IKE 协商失败：两端预共享密钥、加密算法、DH 组不匹配，华为与 H3C 设备算法必须完全统一；
隧道协商成功但无法上网：缺少默认路由 / 回程静态路由、安全策略阻断 VPN 跨域流量；
仅能访问省内网，无法访问互联网：省级防火墙未放行vpn→untrust区域的内网流量；
中转模式流量不通：市级未开启ipsec forwarding enable，禁止 VPN 隧道间转发。
四、最终选型建议
优先使用方案 1 县直连省级 IPSec，架构稳定、运维简单、无性能瓶颈；
仅当县级华为 USG 硬件 / 授权限制，无法新建第二条 IPSec 隧道时，再采用市级中转方案；
所有市、县内网网段规划不重叠，避免路由冲突，省级统一汇总路由管控互联网访问权限。

路由指过去就行，检查下路由情况