本帖最后由 85039王毅波 于 2025-11-20 15:19 编辑
PATR1: IPSEC的路由模式和感兴趣流模式的区别
一、首先,同步结论:IPSEC的路由模式(route base)和感兴趣流模式/策略模式(poLicy base)是无法对接的。关于IPSEC的路由模式(routebase)和IPSEC感兴趣流模式/策略模式(poLicy base)的主要区别如下:
1、隧道建立方式不同:路由模式route base模式是直接使用公网IP地址直接建立隧道,感兴趣流模式/策略模式是使用looback接口建立隧道。 2、流量转发方式:routebase模式是根据路由转发,是根据感兴趣匹配转发到对端。
PS:感兴趣流模式/策略模式相当于通过ACL限制要进入隧道的数据(本段内网网段和对端内网网段)。
Policy-Based(策略模式):像一份手动的送货清单。每件货物(数据包)到来时,你都要对照清单(策略)检查:“如果是从A地址到B地址的,就放进隧道箱子里。” 隧道本身和送货规则是绑定的。
Route-Based(路由模式):像建一条专用的传送带。你先建好一个虚拟的隧道接口(如 tun0),然后把所有需要送货的货物都扔到这条传送带上。你只需要告诉系统:“所有目的地是B网络的货物,都走 tun0 这条传送带。” 隧道和路由规则是分离的。 二、问题:下图是SAP厂家给的邮件答复:SAP只支持route base模式。我们AF目前只支持感兴趣流poLicy base,但是SAP只支持route base(关于poLicy base,SAP PCE Azure环境不支持policy base,SAP推荐使用Route Based)。
PATR2:AF通过IPSEC对接SAP系统/微软云Azure案例
三、解决方案
1、背景和坑点:深信服AF路由部署在客户出口,需要通过IPSEC对接云端的SAP系统,AF一定要巡检打包;如果AF双机场景还需要打vpn双机合包(见附件)。 2、协调SAP导出SAP对端隧道相关配置,确认认证算法和加密算法等,这些要保持两边一致。 SAP配置里面的Encryption algorithm: aes-cbc-256,相当于深信服AF里面的AES-256。 SAP里面的 Encryption algorithm: esp-gcm 256,深信服设备也不支持这个加密算法,但是可以对接成功,应该是SAP对端加密算法支持自适应,类似深信服IPSEC里面阶段二安全提议里的6个默认的ESP协议和加密算法、认证算法等,这个在VPN日志里可以看到,协商失败的说明是两边算法不一致,只要匹配到算法一致的就会协商成功。 如果对接异常可以查下VPN日志信息看具体原因,比如如果报错日志是:“|IKEv1第二阶段快速模式协商|发送通知:无效的ID信息”,这种一半就是IKEv1的第二阶段的协议、加密算法和认证算法等两边不一致,改成相同的即可。这次遇到了AF通过IPSEC对接睿易路由器等,都是正常的,坑点就是需要改下加密和认证算法。
相关信息: AF设备版本:AF8.0.95.2062 Build20240712,SP_AF_OS_Spree_03_8095 Build20241211,SP_AF_OS_Online_ZL_01_8095 Build20250324 AF本端WAN口地址:XX.XX.8.170 SAP地址:XX.XX.119.26 IPSEC对接密钥(需要明文的密钥):SAP提供。
AF成功对接SAP案例如下(信息已脱敏,所有IP地址均非真实地址): 一、AF设备网口配置如下
二、配置VPN线路设置
三、IPSEC配置
四、IPSEC配置-SAP地址和共享密钥(密钥需要铭文的)
五、配置本端地址网段和对端地址网段(需要进入隧道的数据),阶段二安全提议默认即可。
六、IPSEC配置里面点击高级配置-IKE配置选择IKEv2,阶段一安全提议:加密算法选择AES256,认证算法:SHA1,伪随机数生成函数(PRF):SHA1,这个必须手动配置。
至此,AF对接SAP完成,业务测试正常。感谢总部产研专家和研发23689、44266、60348等大力支持和指导。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术研究员1级 
