深信服-H3CVPN.docx

方案概述：客户总部部署深信服的AF，地市门店部署H3C MSR系列路由器，需要实现门店通过IPSec访问总部的服务器，提交订单信息。组网拓扑：服务器-----核心交换机----AF----电信互联网------MSR路由---PC部署方式：双方采用野蛮模式对接，门店端为拨号网络，是动态IP，总部为固定IP；IP规划：总部服务器地址段（/24），门店地址段（/24）配置：H3C MSR路由配置1、设置流量特征；acl number 3000rule 0 permit ip source 55 destination 55 //允许符合如下规则的流量进入隧道2、第一阶段IKE参数配置ike proposal 1encryption-algorithm 3des-cbcdh group2 //DH群组2authentication-algorithm md5 //认证算法MD5sa duration 3600 //第一阶段sa生存时间设置为3600秒ike peer mendianexchange-mode aggressive //使用野蛮模式proposal 1pre-shared-key cipher $c$3$GjdUGf5/TwRCAlTodACuFzwB/PNnhXjvZA== //设置共享密钥id-type name //身份类型为FQDN，深信服端要采用域名FQDNremote-name sangfor //对方身份为sangforremote-address 11 //总部IPlocal-name h3c //我方身份为h3cnat traversal //启用NAT穿透，如本端网络为私网必须启用NAT穿透功能，否则会出现隧道建成但无法通信的问题。dpd mendian //启用DPD探测3、第二阶段IPsec参数配置ipsec transform-set mengdianencapsulation-mode tunnel //使用隧道模式transform esp esp authentication-algorithm md5 esp encryption-algorithm 3des以上参数与深信服设备的安全选项一致#ipsec policy 720896 1 isakmpconnection-name mengdiansecurity acl 3000 //关联ACL3000ike-peer transform-set mengdiansa duration traffic-based 1843200sa duration time-based 3600 //设置第二阶段sa生存时间3600秒4、关联出接口interface Dialer10nat outbound 2000link-protocol pppppp chap user 07911111111ppp chap password cipher $c$3$LCfQDD7ZgBw3FJcEfFOdRASoe5iZ+J7XtQ==ppp pap local-user 079703124854 password cipher $c$3$Pe+bPhMMGN2bgVeDaj8brE0bSF72XDGELw==ppp ipcp dns admit-anyppp ipcp dns requestmtu 1492ip address ppp-negotiatetcp mss 1024dialer user usernamedialer-group 10dialer bundle 10ipsec no-nat-process enable //避免ipsec流量被nat转换，否则会导致异常现象。h3c的产品有些可能并不支持这个命令，解决办法是在nat规则里面将ipsec流量特征的数据deny掉，因为数据量一般是先执行nat转换后执行路由的。ipsec policy 720896 //关联IPsec策略深信服配置：第一阶段配置：因门店端为拨号网络，所以我们要选择对方为动态IP，模式选择为野蛮模式。关于身份字符串信息，深信服设备支持域名FQDN和用户FQDN两种，H3C的设备就不一定，这次实施中就是用的域名FQDN的方式成功了。使用用户FQDN未成功。另外需要注意的是存在nat环境必须要开启NAT穿透功能。 1.png (96.07 KB, 下载次数: 31)  HYPERLINK /forum.php?mod=attachmentaid=ODM2NXwzODk2YmUzMnwxNDg3Mjk3ODMyfDB8OTkxOQ%3