×

#原创分享#AF8.0.23新功能IPSecVPN IKEv2协议对接H3C防火墙
  

yzy 148736人觉得有帮助

{{ttag.title}}
本帖最后由 yzy 于 2020-4-13 16:46 编辑

一、网络拓扑图:




二、AF端配置
1、AF配置必要条件:
(1)IPSecVPN 必须要有IPSEC VPN的模块授权,如果对接的是第三方的设备还需要有分支授权
(2)必须有一个接口勾选了与IPSEC VPN出口线路匹配

2、启用VPN
在网络->IPSEC VPN->DLAN状态中启用VPN

3、网络->IPSEC VPN->第三方对接配置中新增第三方设备,输入对端的公网IP或者域名,填写好对应的共享密钥,两端的共享密钥需要配置一致,在下面加密数据流中新增添加第二阶段的配置

4、输入本端网段和对端网段,阶段二安全提议中需要两边的协议保持一致(默认添加了一些协议和算法,可以把默认的删除了也可以使用默认有的)
注意事项:IPSEC VPN隧道没建立前最好使用单网段进行配置,后期IPSEC VPN隧道建立起来后再添加,如果一次就添加多个网段会导致第二阶段报错难以查找问题

5、IKE版本选择IKEv2,配置好两端的身份验证信息,IKE SA超时时间,D-H群,DPD、段一安全提议等参数,要两端的配置一致

6、IPSEC配置可以使用的2800,也可以自定义修改,修改需要两边一致

三、H3C端配置
1、配置IKEV2的共享密钥配置(对应AF IPSEC VPN的共享密钥和AF的公网对接IP)
ikev2 keychain keyring_sangfor    #创建IKEv2 keychain,名称为keyring_sangfor
peer peer_sangfor      #创建IKEv2对端,名称为peer_sangfor
  address 180.141.78.200 255.255.255.255   #AF的公网对接地址
  pre-shared-key  plaintext sangfor  #共享密钥为sangfor
共享密钥输入的时候需要使用明文输入,保存会以密文保存

2、配置IKEV2的身份认证类型和对应的基本配置(对应AF IPSEC VPN的IKEv2配置)
ikev2 profile profile_sangfor   #创建IKEv2 profile,名称为 profile_sangfor
authentication-method local pre-share   #本端的身份认证方式为预共享密钥
authentication-method remote pre-share   #对端的身份认证方式为预共享密钥
keychain keyring_sangfor    #引用前面配置的IKEv2 keychain,名称为keyring_sangfor
sa duration 3600      #IKE SA超时时间
dpd interval 30 on-demand    #DPD检测间隔30秒
identity local fqdn h3c      #本端的身份类型为fqdn,身份ID为  h3c
match remote identity fqdn sangfor     #对端的身份类型为fqdn,身份ID为  sangfor

3、配置IKEV2的安全提议(对应AF IPSEC VPN的IKEv2-阶段一安全提议)
ikev2 proposal proposal_sangfor    #创建IKEv2 proposal,名称为proposal_sangfor
encryption des-cbc          #加密算法使用 DES
integrity sha1                  #认证算法使用 SHA1
dh group2             #D-H群为group2(对应AF IKEV2的D-H群)
prf sha1                 #伪随机数生成函数为  sha1

4、引用前面配置的ikev2 proposal  proposal_sangfor
ikev2 policy policy_sangfor    #创建IKEv2 policy,名称为policy_sangfor
proposal proposal_sangfor    #引用ikev2 proposal  proposal_sangfor

5、添加第二阶段的出站地址(对应AF IPSEC VPN的加密数据流中的对端地址)
acl advanced 3100          #创建ACL 3100规则
rule 0 permit ip source 172.20.4.0 0.0.0.255 destination 192.168.30.0 0.0.0.255
#允许源IP 172.20.4.0/24目的192.168.30.0/24的流量通过
注意事项:
这里写的是H3C出站到AF的网段,无需写入站网段
H3C的ACL规则使用的是反掩码

6、配置IPSEC VPN阶段二算法(对应AF IPSEC VPN的加密数据流,阶段二安全提议)
ipsec transform-set transform-sangfor   #创建IPSEC transform-set 名称为:transform-sangfor
esp encryption-algorithm 3des-cbc   #加密算法使用 3DES
esp authentication-algorithm md5    #认证算法使用 MD5
pfs dh-group2                  #完美向前保密使用 group2

7、对前面的配置进行引用到ipsec policy中
ipsec policy policy_sangfor 1 isakmp  #创建IPSEC policy 名称为:policy_sangfor,序号为1
transform-set transform-sangfor    #引用前面配置的transform-set transform-sangfor
security acl 3100 aggregation      #引用前面配置的acl 3100,使用聚合模式
local-address 172.20.0.37      #IPSEC VPN隧道的本端IP(为什么是内网IP看后面的注意事项)
remote-address 180.141.78.200    #IPSEC VPN隧道的对端IP
ikev2-profile profile_sangfor      #引用前面配置的 ikev2-profile profile_sangfor
sa duration time-based 28800    #IPSEC SA超时时间(对应AF IPSEC 的IPSEC配置)
reverse-route dynamic         #使用反向路由,模式为动态(详情看后面的注意事项)

注意事项说明:
①引用ACL有三种参数看下面说,经过测试使用默认的标准模式无法建立多条IPSEC隧道,导致填写多个对端的内网网段第二阶段协商不起来,所以需要聚合方式,一条隧道包含了所有ACL中的出站网段
标准方式:一条IPsec隧道保护一条数据流。ACL中的每一个规则对应的数据流分别由一条单独创建的IPsec隧道来保护。缺省采用该方式。
聚合方式:一条IPsec隧道保护ACL中定义的所有数据流。ACL中的所有规则对应的数据流只会由一条创建的IPsec隧道来保护。该方式仅用于和老版本的设备互通。
主机方式:一条IPsec隧道保护一条主机到主机的数据流。ACL中的每一个规则对应的不同主机之间的数据流分别由一条单独创建的IPsec隧道来保护。这种方式下,受保护的网段之间存在多条数据流的情况下,将会消耗更多的系统资源。

②由于H3C AF是路由模式部署在网络中,并非放在互联网出口,所以没有公网IP,只能填写内网的接口IP,如果这里不填写内网接口IP而写公网出口IP会导致协商不起来,设备不是在互联网出口记得做映射。

使用反向路由不需要在h3c端写回包路由,使用反向路由后会在h3c的路由表产生AF端填写的内网网段,如果不使用反向路由需要手工添加静态路由,命令如下
ip route-static 192.168.30.0 255.255.255.0 Ten-GigabitEthernet 1/1/1  180.141.76.1
#192.168.30.0/24是目标网段,Ten-GigabitEthernet 1/1/1是上联出公网的接口,180.141.76.1是sangfor AF的出口公网IP的网关

8、到上联接口引用IPSEC VPN
interface Reth 1     #进入Reht1接口模式
ipsec apply policy policy_sangfor   #引用IPSEC策略,名称为policy_sangfor

四、查看IPSE隧道建立情况
1、sangfor AF可以到网络->IPSEC VPN->DLAN运行状态中查看

2、H3C AF可以执行一下命令查看
disp ikev2 sa   #查看IKEV2 SA相关信息

disp ipsec sa   #查看IPSEC SA的相关信息

disp ipsec  tunnel  #查看隧道建立情况

3、通过两边互ping查看是否能正常

五、排障分析
1、到AF系统->系统故障日志->日志选项设置,勾选所有的日志选项,只看DLAN总部的日志
根据日志报错排障

2、通过告警日志发现协商出现的对端不接受我端的出入站网段,这个主要是前面配置了多个内网网段,所以建议先使用单个网段配置

3、通过查看AF日志分析报错阶段,一般分为第一阶段和第二阶段,第一阶段报错需要检查两端的IKE是否配置一致,可以看日志中协商具体是哪里配置不一致

4、遇到过一个问题,在配置第二阶段中,sangfor AF端内网网段为一个,H3C AF内网网段为多个会导致第二阶段协商不成功,解决版本是在sangfor AF端添加多一个内网网段

5、隧道建立成功,无法ping通双方,需要检查路由,sangfor AF可以在网络->路由中查看路由,H3C AF可以通过名: disp ip routing-table 查看,如果非网关或者网桥模式部署核心交换机也需要写回包路由





打赏鼓励作者,期待更多好文!

打赏
13人已打赏

Sangfor2419 发表于 2020-4-24 10:29
  
感谢楼主分享,文章对解决AF的ipsec vpn对接问题提供了很多帮助,如增加更多排错案例讲解会更加贴近实战,给大家提供更多排查的思路,期待楼主带来更多有价值的分享
未卜 发表于 2020-4-26 09:43
  
感谢楼主分享,文档内容详细分明,主要针对新版本ipsec分享介绍,包括每个阶段说明及常见排错,思路清晰。对新版本三方建立很有帮助,很有价值。
Sangfor_闪电回_朱丽 发表于 2020-4-14 10:38
  
您好,感谢您参与社区原创分享计划8,您的文章已被收录到计划中,交由专家评审小组评审,文章标签在专家评审后设置,奖励将在活动结束后统一安排发放!发文越多,奖励越多,期待您更多的精彩文章哦!:感恩:
关于技术文章的管理流程,请参考:http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279

新手081074 发表于 2020-4-14 15:25
  
感谢分享
ztbf 发表于 2020-4-14 16:58
  
写的真好,学习。
念友真爱 发表于 2020-4-14 20:09
  
没认真看,但是感觉好专业,没折腾过IPSecVPN,所以稀里糊涂的大体看了一下,感觉不错!
sdhd_耿建峰 发表于 2020-4-14 22:19
  
干活,收藏了!:加油:
主动出击 发表于 2020-4-15 09:12
  
楼主辛苦了,感谢分享。
新手081074 发表于 2020-4-15 10:21
  
感谢分享
TCN 发表于 2020-4-15 10:22
  
看起来是比较简单,估计实际操作会麻烦一些
梦境人生 发表于 2020-4-15 10:58
  
只是听说8023防火墙vpn模块做了很大优化,没有尝试过。从界面上来看,习惯了之前老的样子,现在看起来不适应
已收藏本贴后续尝试一下,感谢楼主精彩分享
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人