×

深信服AF与H3C MSR系列路由第三方IPsec对接
  

北回归线 298543人觉得有帮助

{{ttag.title}}
方案概述:
客户总部部署某公司的AF,地市门店部署H3C MSR系列路由器,需要实现门店通过IPSec访问总部的服务器,提交订单信息。

组网拓扑:服务器-----核心交换机----AF----电信互联网------MSR路由---PC
部署方式:双方采用野蛮模式对接,门店端为拨号网络,是动态IP,总部为固定IP;
IP规划:总部服务器地址段(192.168.0.0/24),门店地址段(192.168.129.0/24)

配置:
H3C MSR路由配置
1、设置流量特征;
acl number 3000
rule 0 permit ip source 192.168.129.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 //允许符合如下规则的流量进入隧道

2、第一阶段IKE参数配置
ike proposal 1
encryption-algorithm 3des-cbc
dh group2   //DH群组2
authentication-algorithm md5 //认证算法MD5
sa duration 3600  //第一阶段sa生存时间设置为3600秒

ike peer mendian
exchange-mode aggressive  //使用野蛮模式
proposal 1
pre-shared-key cipher $c$3$GjdUGf5/TwRCAlTodACuFzwB/PNnhXjvZA==   //设置共享密钥
id-type name   //身份类型为FQDN,某公司端要采用域名FQDN
remote-name sangfor    //对方身份为sangfor
remote-address 111.75.21.111   //总部IP
local-name h3c   //我方身份为h3c

nat traversal      //启用NAT穿透,如本端网络为私网必须启用NAT穿透功能,否则会出现隧道建成但无法通信的问题。
dpd mendian     //启用DPD探测

3、第二阶段IPsec参数配置
ipsec transform-set mengdian
encapsulation-mode tunnel //使用隧道模式
transform esp  
esp authentication-algorithm md5  
esp encryption-algorithm 3des

以上参数与某公司设备的安全选项一致
#
ipsec policy 720896 1 isakmp
connection-name mengdian
security acl 3000  //关联ACL3000
ike-peer
transform-set mengdian
sa duration traffic-based 1843200
sa duration time-based 3600  //设置第二阶段sa生存时间3600秒

4、关联出接口
interface Dialer10
nat outbound 2000
link-protocol ppp
ppp chap user 07911111111
ppp chap password cipher $c$3$LCfQDD7ZgBw3FJcEfFOdRASoe5iZ+J7XtQ==
ppp pap local-user 079703124854 password cipher $c$3$Pe+bPhMMGN2bgVeDaj8brE0bSF72XDGELw==
ppp ipcp dns admit-any
ppp ipcp dns request
mtu 1492
ip address ppp-negotiate
tcp mss 1024
dialer user username
dialer-group 10
dialer bundle 10
ipsec no-nat-process enable  //避免ipsec流量被nat转换,否则会导致异常现象。h3c的产品有些可能并不支持这个命令,解决办法是在nat规则里面将ipsec流量特征的数据deny掉,因为数据量一般是先执行nat转换后执行路由的。
ipsec policy 720896  //关联IPsec策略


某公司配置:

第一阶段配置:
因门店端为拨号网络,所以我们要选择对方为动态IP,模式选择为野蛮模式。关于身份字符串信息,某公司设备支持域名FQDN和用户FQDN两种,H3C的设备就不一定,这次实施中就是用的域名FQDN的方式成功了。使用用户FQDN未成功。另外需要注意的是存在nat环境必须要开启NAT穿透功能。


第二阶段
主要是设置出入站策略,注意策略命名方式便于我们后期去分别ipsec隧道。



完美密钥向前保密华三的设备也不一定可以支持,这个需要注意。

排错经验分享:
某公司的AF设备系统故障日志可以得到准确的反馈,可以看到DLAN模块的调试信息,ipsec隧道中有什么参数不一致设备都会有提示,比华三的设备的debug日志容易懂许多,华三的debug日志需要对标准的ipsec协议非常了解才有助排除。


实施期间遇到第一阶段始终无法建成,日志显示NAT-T探测就结束,无法确定具体原因。后来让客户与电信方面协调,将目前拨号的获取的私有IP的方式改为公网IP,即PPPOE拨号获取公网IP。改完后发现华三设备本端的ID不支持用户FQDN,对端的ID可以支持设置用户FQDN,随后将华三端设备均改为FQDN方式与某公司端使用域名字符串(FQDN),隧道便建立成功。

吐槽一下:
某公司的DLAN模块信息会显示所有有关ipsec的日志信息,包括sangfor vpn、pdlan和标准ipsec这些信息。客户的设备里面有40-50人的pdlan日志,导致第三方对接的日志信息容易被pdlan的信息给覆盖,给排错功能带来了很大的难度,看不到准确的日志信息,对此也在论坛里面提过建议,但是未得到规划经理的认可。

实施期间ipsec对接第一阶段始终无法建成,日志也只显示nat-t探测就没有具体的结论。寻找400求助,400工程师也就给了一个参数对比的文档,随后就消失匿迹,所幸后来也及时找出了原因。

打赏鼓励作者,期待更多好文!

打赏
17人已打赏

北回归线 发表于 2015-9-22 12:23
  
自己顶顶,争取顶到天。
北回归线 发表于 2015-9-23 13:41
  
Sangfor_闪电回_小狒 发表于 2015-10-10 15:33
  
哇塞!楼主不愧是大神,写的这么详细~~思路清晰,步骤详尽!大赞!
新手119633 发表于 2017-5-11 11:11
  


isakmp存活时间怎么不显示出来?而且选择编辑的时候,共享密钥什么的都没有了?
sapphire 发表于 2017-8-25 14:55
  
下个项目和这类似 学习下
新手304501 发表于 2017-9-10 09:22
  
请问一下你的ACL2000里面是什么内容?
极光 发表于 2017-9-26 16:29
  
很有帮助  谢谢
小文来了 发表于 2017-9-27 08:19
  
学习了,很好。。。。。。。。。
gongxun1977 发表于 2017-9-27 16:42
  
好东西就要收藏。
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
干货满满
【 社区to talk】
新版本体验
技术笔记
功能体验
产品连连看
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
自助服务平台操作指引
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人