深信服AF与H3C MSR系列路由第三方IPsec对接

方案概述：

客户总部部署某公司的AF，地市门店部署H3C MSR系列路由器，需要实现门店通过IPSec访问总部的服务器，提交订单信息。

组网拓扑：服务器-----核心交换机----AF----电信互联网------MSR路由---PC
部署方式：双方采用野蛮模式对接，门店端为拨号网络，是动态IP，总部为固定IP；
IP规划：总部服务器地址段（192.168.0.0/24），门店地址段（192.168.129.0/24）

配置：
H3C MSR路由配置
1、设置流量特征；
acl number 3000
rule 0 permit ip source 192.168.129.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 //允许符合如下规则的流量进入隧道

2、第一阶段IKE参数配置
ike proposal 1
encryption-algorithm 3des-cbc
dh group2   //DH群组2
authentication-algorithm md5 //认证算法MD5
sa duration 3600  //第一阶段sa生存时间设置为3600秒

ike peer mendian
exchange-mode aggressive  //使用野蛮模式
proposal 1
pre-shared-key cipher $c$3$GjdUGf5/TwRCAlTodACuFzwB/PNnhXjvZA==   //设置共享密钥
id-type name   //身份类型为FQDN，某公司端要采用域名FQDN
remote-name sangfor    //对方身份为sangfor
remote-address 111.75.21.111   //总部IP
local-name h3c   //我方身份为h3c
nat traversal      //启用NAT穿透，如本端网络为私网必须启用NAT穿透功能，否则会出现隧道建成但无法通信的问题。
dpd mendian     //启用DPD探测

3、第二阶段IPsec参数配置
ipsec transform-set mengdian
encapsulation-mode tunnel //使用隧道模式
transform esp  
esp authentication-algorithm md5  
esp encryption-algorithm 3des

以上参数与某公司设备的安全选项一致
#
ipsec policy 720896 1 isakmp
connection-name mengdian
security acl 3000  //关联ACL3000
ike-peer
transform-set mengdian
sa duration traffic-based 1843200
sa duration time-based 3600  //设置第二阶段sa生存时间3600秒

4、关联出接口
interface Dialer10
nat outbound 2000
link-protocol ppp
ppp chap user 07911111111
ppp chap password cipher $c$3$LCfQDD7ZgBw3FJcEfFOdRASoe5iZ+J7XtQ==
ppp pap local-user 079703124854 password cipher $c$3$Pe+bPhMMGN2bgVeDaj8brE0bSF72XDGELw==
ppp ipcp dns admit-any
ppp ipcp dns request
mtu 1492
ip address ppp-negotiate
tcp mss 1024
dialer user username
dialer-group 10
dialer bundle 10
ipsec no-nat-process enable  //避免ipsec流量被nat转换，否则会导致异常现象。h3c的产品有些可能并不支持这个命令，解决办法是在nat规则里面将ipsec流量特征的数据deny掉，因为数据量一般是先执行nat转换后执行路由的。
ipsec policy 720896  //关联IPsec策略


某公司配置：

第一阶段配置：
因门店端为拨号网络，所以我们要选择对方为动态IP，模式选择为野蛮模式。关于身份字符串信息，某公司设备支持域名FQDN和用户FQDN两种，H3C的设备就不一定，这次实施中就是用的域名FQDN的方式成功了。使用用户FQDN未成功。另外需要注意的是存在nat环境必须要开启NAT穿透功能。


第二阶段
主要是设置出入站策略，注意策略命名方式便于我们后期去分别ipsec隧道。



完美密钥向前保密华三的设备也不一定可以支持，这个需要注意。

排错经验分享：
某公司的AF设备系统故障日志可以得到准确的反馈，可以看到DLAN模块的调试信息，ipsec隧道中有什么参数不一致设备都会有提示，比华三的设备的debug日志容易懂许多，华三的debug日志需要对标准的ipsec协议非常了解才有助排除。

实施期间遇到第一阶段始终无法建成，日志显示NAT-T探测就结束，无法确定具体原因。后来让客户与电信方面协调，将目前拨号的获取的私有IP的方式改为公网IP，即PPPOE拨号获取公网IP。改完后发现华三设备本端的ID不支持用户FQDN，对端的ID可以支持设置用户FQDN，随后将华三端设备均改为FQDN方式与某公司端使用域名字符串（FQDN），隧道便建立成功。

吐槽一下：
某公司的DLAN模块信息会显示所有有关ipsec的日志信息，包括sangfor vpn、pdlan和标准ipsec这些信息。客户的设备里面有40-50人的pdlan日志，导致第三方对接的日志信息容易被pdlan的信息给覆盖，给排错功能带来了很大的难度，看不到准确的日志信息，对此也在论坛里面提过建议，但是未得到规划经理的认可。

实施期间ipsec对接第一阶段始终无法建成，日志也只显示nat-t探测就没有具体的结论。寻找400求助，400工程师也就给了一个参数对比的文档，随后就消失匿迹，所幸后来也及时找出了原因。

自己顶顶，争取顶到天。

哇塞！楼主不愧是大神，写的这么详细~~思路清晰，步骤详尽！大赞！

isakmp存活时间怎么不显示出来？而且选择编辑的时候，共享密钥什么的都没有了？

下个项目和这类似 学习下

请问一下你的ACL2000里面是什么内容？

很有帮助  谢谢

学习了，很好。。。。。。。。。

好东西就要收藏。