#原创分享#AF8.0.23新功能IPSecVPN IKEv2协议对接H3C防火墙

一、网络拓扑图：

二、AF端配置

1、AF配置必要条件：

（1）IPSecVPN 必须要有IPSEC VPN的模块授权，如果对接的是第三方的设备还需要有分支授权

（2）必须有一个接口勾选了与IPSEC VPN出口线路匹配

2、启用VPN

在网络->IPSEC VPN->DLAN状态中启用VPN

3、网络->IPSEC VPN->第三方对接配置中新增第三方设备，输入对端的公网IP或者域名，填写好对应的共享密钥，两端的共享密钥需要配置一致，在下面加密数据流中新增添加第二阶段的配置

4、输入本端网段和对端网段，阶段二安全提议中需要两边的协议保持一致（默认添加了一些协议和算法，可以把默认的删除了也可以使用默认有的）

注意事项：IPSEC VPN隧道没建立前最好使用单网段进行配置，后期IPSEC VPN隧道建立起来后再添加，如果一次就添加多个网段会导致第二阶段报错难以查找问题

5、IKE版本选择IKEv2，配置好两端的身份验证信息，IKE SA超时时间，D-H群，DPD、段一安全提议等参数，要两端的配置一致

6、IPSEC配置可以使用的2800，也可以自定义修改，修改需要两边一致

三、H3C端配置

1、配置IKEV2的共享密钥配置（对应AF IPSEC VPN的共享密钥和AF的公网对接IP）

ikev2 keychain keyring_sangfor    #创建IKEv2 keychain，名称为keyring_sangfor

peer peer_sangfor      #创建IKEv2对端，名称为peer_sangfor

  address 180.141.78.200 255.255.255.255   #AF的公网对接地址

  pre-shared-key  plaintext sangfor  #共享密钥为sangfor

共享密钥输入的时候需要使用明文输入，保存会以密文保存

2、配置IKEV2的身份认证类型和对应的基本配置（对应AF IPSEC VPN的IKEv2配置）

ikev2 profile profile_sangfor   #创建IKEv2 profile，名称为 profile_sangfor

authentication-method local pre-share   #本端的身份认证方式为预共享密钥

authentication-method remote pre-share   #对端的身份认证方式为预共享密钥

keychain keyring_sangfor    #引用前面配置的IKEv2 keychain，名称为keyring_sangfor

sa duration 3600      #IKE SA超时时间

dpd interval 30 on-demand    #DPD检测间隔30秒

identity local fqdn h3c      #本端的身份类型为fqdn，身份ID为  h3c

match remote identity fqdn sangfor     #对端的身份类型为fqdn，身份ID为  sangfor

3、配置IKEV2的安全提议（对应AF IPSEC VPN的IKEv2-阶段一安全提议）

ikev2 proposal proposal_sangfor    #创建IKEv2 proposal，名称为proposal_sangfor

encryption des-cbc          #加密算法使用 DES

integrity sha1                  #认证算法使用 SHA1

dh group2             #D-H群为group2（对应AF IKEV2的D-H群）

prf sha1                 #伪随机数生成函数为  sha1

4、引用前面配置的ikev2 proposal  proposal_sangfor

ikev2 policy policy_sangfor    #创建IKEv2 policy，名称为policy_sangfor

proposal proposal_sangfor    #引用ikev2 proposal  proposal_sangfor

5、添加第二阶段的出站地址（对应AF IPSEC VPN的加密数据流中的对端地址）

acl advanced 3100          #创建ACL 3100规则

rule 0 permit ip source 172.20.4.0 0.0.0.255 destination 192.168.30.0 0.0.0.255

#允许源IP 172.20.4.0/24目的192.168.30.0/24的流量通过

注意事项：

这里写的是H3C出站到AF的网段,无需写入站网段

H3C的ACL规则使用的是反掩码

6、配置IPSEC VPN阶段二算法（对应AF IPSEC VPN的加密数据流，阶段二安全提议）

ipsec transform-set transform-sangfor   #创建IPSEC transform-set 名称为：transform-sangfor

esp encryption-algorithm 3des-cbc   #加密算法使用 3DES

esp authentication-algorithm md5    #认证算法使用 MD5

pfs dh-group2                  #完美向前保密使用 group2

7、对前面的配置进行引用到ipsec policy中

ipsec policy policy_sangfor 1 isakmp  #创建IPSEC policy 名称为：policy_sangfor，序号为1

transform-set transform-sangfor    #引用前面配置的transform-set transform-sangfor

security acl 3100 aggregation      #引用前面配置的acl 3100，使用聚合模式

local-address 172.20.0.37      #IPSEC VPN隧道的本端IP（为什么是内网IP看后面的注意事项）

remote-address 180.141.78.200    #IPSEC VPN隧道的对端IP

ikev2-profile profile_sangfor      #引用前面配置的 ikev2-profile profile_sangfor

sa duration time-based 28800    #IPSEC SA超时时间（对应AF IPSEC 的IPSEC配置）

reverse-route dynamic         #使用反向路由，模式为动态（详情看后面的注意事项）

注意事项说明：

①引用ACL有三种参数看下面说，经过测试使用默认的标准模式无法建立多条IPSEC隧道，导致填写多个对端的内网网段第二阶段协商不起来，所以需要聚合方式，一条隧道包含了所有ACL中的出站网段

标准方式：一条IPsec隧道保护一条数据流。ACL中的每一个规则对应的数据流分别由一条单独创建的IPsec隧道来保护。缺省采用该方式。

聚合方式：一条IPsec隧道保护ACL中定义的所有数据流。ACL中的所有规则对应的数据流只会由一条创建的IPsec隧道来保护。该方式仅用于和老版本的设备互通。

主机方式：一条IPsec隧道保护一条主机到主机的数据流。ACL中的每一个规则对应的不同主机之间的数据流分别由一条单独创建的IPsec隧道来保护。这种方式下，受保护的网段之间存在多条数据流的情况下，将会消耗更多的系统资源。

②由于H3C AF是路由模式部署在网络中，并非放在互联网出口，所以没有公网IP，只能填写内网的接口IP，如果这里不填写内网接口IP而写公网出口IP会导致协商不起来，设备不是在互联网出口记得做映射。

③使用反向路由不需要在h3c端写回包路由，使用反向路由后会在h3c的路由表产生AF端填写的内网网段，如果不使用反向路由需要手工添加静态路由，命令如下

ip route-static 192.168.30.0 255.255.255.0 Ten-GigabitEthernet 1/1/1  180.141.76.1

#192.168.30.0/24是目标网段，Ten-GigabitEthernet 1/1/1是上联出公网的接口，180.141.76.1是sangfor AF的出口公网IP的网关

8、到上联接口引用IPSEC VPN

interface Reth 1     #进入Reht1接口模式

ipsec apply policy policy_sangfor   #引用IPSEC策略，名称为policy_sangfor

四、查看IPSE隧道建立情况

1、sangfor AF可以到网络->IPSEC VPN->DLAN运行状态中查看

2、H3C AF可以执行一下命令查看

disp ikev2 sa   #查看IKEV2 SA相关信息

disp ipsec sa   #查看IPSEC SA的相关信息

disp ipsec  tunnel  #查看隧道建立情况

3、通过两边互ping查看是否能正常

五、排障分析

1、到AF系统->系统故障日志->日志选项设置，勾选所有的日志选项，只看DLAN总部的日志

根据日志报错排障

2、通过告警日志发现协商出现的对端不接受我端的出入站网段，这个主要是前面配置了多个内网网段，所以建议先使用单个网段配置

3、通过查看AF日志分析报错阶段，一般分为第一阶段和第二阶段，第一阶段报错需要检查两端的IKE是否配置一致，可以看日志中协商具体是哪里配置不一致

4、遇到过一个问题，在配置第二阶段中，sangfor AF端内网网段为一个，H3C AF内网网段为多个会导致第二阶段协商不成功，解决版本是在sangfor AF端添加多一个内网网段

5、隧道建立成功，无法ping通双方，需要检查路由，sangfor AF可以在网络->路由中查看路由，H3C AF可以通过名： disp ip routing-table 查看，如果非网关或者网桥模式部署核心交换机也需要写回包路由

感谢楼主分享，文章对解决AF的ipsec vpn对接问题提供了很多帮助，如增加更多排错案例讲解会更加贴近实战，给大家提供更多排查的思路，期待楼主带来更多有价值的分享

感谢楼主分享，文档内容详细分明，主要针对新版本ipsec分享介绍，包括每个阶段说明及常见排错，思路清晰。对新版本三方建立很有帮助，很有价值。

您好，感谢您参与社区原创分享计划8，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，奖励将在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
关于技术文章的管理流程，请参考：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279

感谢分享

写的真好，学习。

没认真看，但是感觉好专业，没折腾过IPSecVPN，所以稀里糊涂的大体看了一下，感觉不错！

干活，收藏了！:加油:

楼主辛苦了，感谢分享。

感谢分享

看起来是比较简单，估计实际操作会麻烦一些

只是听说8023防火墙vpn模块做了很大优化，没有尝试过。从界面上来看，习惯了之前老的样子，现在看起来不适应
已收藏本贴后续尝试一下，感谢楼主精彩分享