#原创分享#记一次与华为路由器的ipsec对接
  

你是不是傻丶 3225

{{ttag.title}}
#原创分享#记一次与华为路由器的ipsec对接
应用背景如下:
1.总部为某公司防火墙,出口路由部署,有固定ip
2.分支为华为路由器,内网路由串进去的,出口ip不固定
基于这种对接条件,选择了ipsec对接,以野蛮模式实现对接
下边开始配置
华为防火墙的配置:
选定vpn对接接口,ike版本选择ikev1(截止到AF8.0.10,AF第三方对接只支持ikev1)
图片1.png
这里由于pfs(完美密钥向前推)进有选择dh群,而某公司设备没有相应的dh群选择,所以双方未开启pfs
图片2.png
图片3.png
在acl中添加允许相互访问的网段
图片4.png
某公司设备配置如下:
建立第一阶段,参数与华为设备保持一致
图片5.png
第二阶段写好允许访问的出入站策略,安全选项的加密方式对照华为设备匹配
图片6.png
接下来就能看到两端互联隧道已经建立正常了
图片7.png
下边我们开始测试数据传输有没有问题
由华为端pc设备ping某公司端下联设备,提示请求超时
按照思路我们先排查路由走向,tracert 某公司端下联设备,第一跳指到了华为路由器,接下来就顺着公网路线出去了,没有显示数据包丢给相应的隧道,后续联系华为原厂工程师支持
图片8.png
图片9.png
经排查,华为没有vpn接口的说法,数据对接接口为设备wan口,华为方反馈要排除出接口nat转换掉vpn的数据,否则在出路由设备时,会导致地址转换,数据已正常上网流量转发出去。

ps:最好开启dpd配置,并以流量触发的形式发起链接,经测试自动触发存在一天后隧道中断不能自动协商的现象

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

sangfor52783 发表于 2019-11-16 17:36
  
感谢分享,如之前另一个与维盟做ipsec vpn对接一样,同样使用标准协议,但不同厂商的设备总会有一些设计上的差异,同时该案例也可以做为和华为路由器对接的参考材料。很有价值。
Sangfor_闪电回_朱丽 发表于 2019-11-6 11:09
  
您好,感谢您参与社区原创分享计划4,您的文章已被收录到计划中,交由专家评审小组评审,分享奖励将在活动结束后统一安排发放!分享越多,奖励越多,期待您更多的精彩分享哦!:感恩:
心灵鸡汤 发表于 2019-11-11 14:07
  

11.11社区也狂欢 +11 S豆 详情>

这个不错。马上就要做深信服设备和华为防火墙的对接。正好看看学习一下。
yuan666 发表于 2019-11-11 14:09
  

11.11社区也狂欢 +11 S豆 详情>

感谢分享
Mr_Fx 发表于 2019-11-11 14:56
  

11.11社区也狂欢 +11 S豆 详情>

我之前是把SSL_VPN和华为USG防火墙起IPSec,但由于本端出口不稳定,老是需要手动去reset IPSec
新手201992 发表于 2019-11-11 17:21
  
必须设置目标地址为感兴趣网段的IP段不做NAT转换才可以
账号已注销 发表于 2019-11-11 17:58
  

11.11社区也狂欢 +11 S豆 详情>

很有用,学习了
小杜 发表于 2019-11-11 19:50
  
与其他厂商对接的案例很实用。
小丁 发表于 2019-11-11 22:36
  
华为的没有接触过,学习了!
玖零网络 发表于 2019-11-12 08:11
  

11.11社区也狂欢 +11 S豆 详情>

向技术员致敬
发表新帖
热门标签
全部标签>
GIF动图学习
每日一问
信服课堂视频
技术笔记
项目案例
产品连连看
技术咨询
在线直播
新版本体验
专家分享
功能体验
答题自测
技术圆桌
原创分享
安装部署配置
SANGFOR资讯
排障笔记本
安全攻防
每日一记
SDP百科
畅聊IT
专家问答
问题分析处理
VPN 对接
上网策略
日志审计
标准化排查
设备维护
产品预警公告
MVP
网络基础知识
升级
测试报告
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
技术顾问
信服故事
功能咨询
终端接入
授权
资源访问
地址转换
虚拟机
存储
迁移
加速技术

本版版主

397
101
61

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

新手58573...

本周分享达人

新手58573...

本周提问达人