向上吧,少年 发表于 2021-12-12 11:47
  
每日一学,坚持打卡。
头像被屏蔽
新手741261 发表于 2022-2-4 13:57
  
楼主辛苦了  写的好详细
沧海一杯水 发表于 2022-2-15 08:35
  
坚持学习,坚持打卡。。。。。。。。。。。。。
策c 发表于 2023-4-3 10:11
  
楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
wshellym 发表于 2023-4-7 09:38
  
感谢楼主分享,努力学习中!!!
新手160610 发表于 2023-4-20 09:02
  
感谢分享!感谢分享!感谢分享!
zjwshenxian 发表于 2024-7-2 22:10
  
详细测试攻略,价值连城啊。我给十分!
西红柿煮番茄的猫 发表于 2024-7-12 10:16
  
感谢分享,学习一下~
不想上班 发表于 2024-8-24 09:35
  
非常好的实践教程,谢谢分享
深信服AF与H3C MSR系列路由第三方IPsec对接
  

北回归线 302193人觉得有帮助

{{ttag.title}}
方案概述:
客户总部部署某公司的AF,地市门店部署H3C MSR系列路由器,需要实现门店通过IPSec访问总部的服务器,提交订单信息。

组网拓扑:服务器-----核心交换机----AF----电信互联网------MSR路由---PC
部署方式:双方采用野蛮模式对接,门店端为拨号网络,是动态IP,总部为固定IP;
IP规划:总部服务器地址段(192.168.0.0/24),门店地址段(192.168.129.0/24)

配置:
H3C MSR路由配置
1、设置流量特征;
acl number 3000
rule 0 permit ip source 192.168.129.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 //允许符合如下规则的流量进入隧道

2、第一阶段IKE参数配置
ike proposal 1
encryption-algorithm 3des-cbc
dh group2   //DH群组2
authentication-algorithm md5 //认证算法MD5
sa duration 3600  //第一阶段sa生存时间设置为3600秒

ike peer mendian
exchange-mode aggressive  //使用野蛮模式
proposal 1
pre-shared-key cipher $c$3$GjdUGf5/TwRCAlTodACuFzwB/PNnhXjvZA==   //设置共享密钥
id-type name   //身份类型为FQDN,某公司端要采用域名FQDN
remote-name sangfor    //对方身份为sangfor
remote-address 111.75.21.111   //总部IP
local-name h3c   //我方身份为h3c

nat traversal      //启用NAT穿透,如本端网络为私网必须启用NAT穿透功能,否则会出现隧道建成但无法通信的问题。
dpd mendian     //启用DPD探测

3、第二阶段IPsec参数配置
ipsec transform-set mengdian
encapsulation-mode tunnel //使用隧道模式
transform esp  
esp authentication-algorithm md5  
esp encryption-algorithm 3des

以上参数与某公司设备的安全选项一致
#
ipsec policy 720896 1 isakmp
connection-name mengdian
security acl 3000  //关联ACL3000
ike-peer
transform-set mengdian
sa duration traffic-based 1843200
sa duration time-based 3600  //设置第二阶段sa生存时间3600秒

4、关联出接口
interface Dialer10
nat outbound 2000
link-protocol ppp
ppp chap user 07911111111
ppp chap password cipher $c$3$LCfQDD7ZgBw3FJcEfFOdRASoe5iZ+J7XtQ==
ppp pap local-user 079703124854 password cipher $c$3$Pe+bPhMMGN2bgVeDaj8brE0bSF72XDGELw==
ppp ipcp dns admit-any
ppp ipcp dns request
mtu 1492
ip address ppp-negotiate
tcp mss 1024
dialer user username
dialer-group 10
dialer bundle 10
ipsec no-nat-process enable  //避免ipsec流量被nat转换,否则会导致异常现象。h3c的产品有些可能并不支持这个命令,解决办法是在nat规则里面将ipsec流量特征的数据deny掉,因为数据量一般是先执行nat转换后执行路由的。
ipsec policy 720896  //关联IPsec策略


某公司配置:

第一阶段配置:
因门店端为拨号网络,所以我们要选择对方为动态IP,模式选择为野蛮模式。关于身份字符串信息,某公司设备支持域名FQDN和用户FQDN两种,H3C的设备就不一定,这次实施中就是用的域名FQDN的方式成功了。使用用户FQDN未成功。另外需要注意的是存在nat环境必须要开启NAT穿透功能。


第二阶段
主要是设置出入站策略,注意策略命名方式便于我们后期去分别ipsec隧道。



完美密钥向前保密华三的设备也不一定可以支持,这个需要注意。

排错经验分享:
某公司的AF设备系统故障日志可以得到准确的反馈,可以看到DLAN模块的调试信息,ipsec隧道中有什么参数不一致设备都会有提示,比华三的设备的debug日志容易懂许多,华三的debug日志需要对标准的ipsec协议非常了解才有助排除。


实施期间遇到第一阶段始终无法建成,日志显示NAT-T探测就结束,无法确定具体原因。后来让客户与电信方面协调,将目前拨号的获取的私有IP的方式改为公网IP,即PPPOE拨号获取公网IP。改完后发现华三设备本端的ID不支持用户FQDN,对端的ID可以支持设置用户FQDN,随后将华三端设备均改为FQDN方式与某公司端使用域名字符串(FQDN),隧道便建立成功。

吐槽一下:
某公司的DLAN模块信息会显示所有有关ipsec的日志信息,包括sangfor vpn、pdlan和标准ipsec这些信息。客户的设备里面有40-50人的pdlan日志,导致第三方对接的日志信息容易被pdlan的信息给覆盖,给排错功能带来了很大的难度,看不到准确的日志信息,对此也在论坛里面提过建议,但是未得到规划经理的认可。

实施期间ipsec对接第一阶段始终无法建成,日志也只显示nat-t探测就没有具体的结论。寻找400求助,400工程师也就给了一个参数对比的文档,随后就消失匿迹,所幸后来也及时找出了原因。

打赏鼓励作者,期待更多好文!

打赏
17人已打赏

发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
社区新周刊
产品连连看
干货满满
技术咨询
每日一问
纪元平台
标准化排查
GIF动图学习
新版本体验
技术盲盒
功能体验
社区帮助指南
信服课堂视频
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
143
63

发帖

粉丝

关注

5
8
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人