問

F1000-C8110在已經建立連接的PPPoE鏈路上，創建VPN，VPN出現單向通話問題

2024-12-16提問

0關注
0收藏，1476瀏覽

zhiliao_OhFlmK

zhiliao_OhFlmK 零段

粉絲：0人關注：0人

問題描述：

F1000-C8110，防火牆GigabitEthernet1/0/2端口上，連接1個電信的Epon，Epon設置為bridge模式，GigabitEthernet1/0/2綁定dia1接口，dia1接口已經成功分配公網IP地址，例如：11.11.11.1，另一個城市辦公室使用專線網絡，已經分配固定公網IP，例如22.22.22.1，2個辦公室都使用H3C F1000防火牆，同樣型號。2個防火牆之間建立IPsec VPN，從22.22.22.1側防火牆後麵的私有網，已經可以ping通11.11.11.1後麵的私有網IP，但是反過來，從11.11.11.1之後的私有網，不能ping通22.22.22.1之後的私有網？
請問這個需要如何配置？

最佳答案

已采納

無名之輩

無名之輩九段

粉絲：194人關注：0人

您好，配置IPSEC

參考

兩台防火牆采用公網固定地址方式搭建IPSEC VPN配置案例（主模式WEB配置）

1 配置需求及說明

1.1 適用的產品係列

本案例適用於軟件平台為Comware V7係列防火牆：F100-X-G2、F1000-X-G2、F100-X-WiNet、F1000-AK、F10X0等。

注：本案例是在F100-C-G2的Version 7.1.064, Release 9510P08版本上進行配置和驗證的。

1.2 配置需求及實現的效果

總部和分部各有一台防火牆部署在互聯網出口，因業務需要兩端內網需要通過VPN相互訪問。IP地址及接口規劃如下表所示：

公司名稱	外網接口	公網地址/掩碼	公網網關	內網接口	內網地址/掩碼
總部	1/0/3	101.88.26.34/30	101.88.26.33	1/0/4	192.168.10.0/24
分部	1/0/3	198.76.26.90/30	198.76.26.89	1/0/4	192.168.20.0/24

2 組網圖

3 配置步驟

3.1 兩端防火牆上網配置

防火牆上網配置請參考“2.3.2 防火牆外網使用固定IP地址上網配置方法”進行配置，本文隻針對IPSEC VPN配置進行介紹。

3.2 總部側IPSEC VPN策略配置

#在“網絡”>“VPN”>“策略”中點擊新建。

#在“基本配置”中“接口”選擇接入外網的1/0/3接口，“優先級”設置為1（優先級代表了策略匹配順序，當存在多條VPN隧道時需要對各VPN隧道優先級進行設置），“認證方式”選擇域共享密鑰，建立VPN兩端隧道的域共享密鑰必須一致。對端ID設置對IP地址即分公司公網地址，本端ID默認為本端公網接口IP地址。在保護的數據流中添加源為總部內網網段192.168.10.0/24，目的IP地址為分部內網網段192.168.20.0/24。

3.3 總部側配置安全策略，放通IPSEC感興趣流的數據策略

#在“策略”>“安全策略”>點擊“新建”，“源IP地址”中點擊“添加IPV4地址對象組”

#配置對象組名稱為“192.168.20.0”，點擊“添加”，對象地址為192.168.20.0網段，為分支內網段地址

#在“策略”>“安全策略”>點擊“新建”，“目的IP地址”中點擊“添加IPV4地址對象組”

#配置對象組名稱為“192.168.10.0”，點擊“添加”，對象地址為192.168.10.0網段，為總部內網網段地址

#最後確認一下“源IP地址”為對端內網所在對象組，“目的IP地址”為本端內網地址所在對象組，確定即可

3.4 總部側配置安全策略，放通Untrust到Local，和Local到Utrust的策略，用於建立IPSEC 隧道

3.5 分部側IPSEC VPN策略配置

#在“網絡”>“VPN”>“策略”中點擊新建。

#在“基本配置”中“接口”選擇接入外網的1/0/3接口，“優先級”設置為1（優先級代表了策略匹配順序，當存在多條VPN隧道時需要對各VPN隧道優先級進行設置），“認證方式”選擇域共享密鑰，建立VPN兩端隧道的域共享密鑰必須一致。對端ID設置對IP地址即分公司公網地址，本端ID默認為本端公網接口IP地址。在保護的數據流中添加源為分部內網網段192.168.20.0/24，目的IP地址為總部內網網段192.168.10.0/24。