SANGFOR NGAF與H3C SecPath系列(V7)防火牆第三方IPsec對接

SANGFOR NGAF 與H3C SecPath系列(V7)防火牆第三方IPsec對接

方案概述：

客戶總部中心部署深信服的NGAF，鄉鎮分中心部署H3C SecPath系列防火牆，需要實現分中心透過IPSec訪問總部中心接入的專線的伺服器。

組網拓撲：伺服器(172.21.X.0/24) ----專線---- Sangfor AF ---- 市級電子政務網 ---- (外)NAT裝置(內) ---- H3C SecPath防火牆 ---- H3C S7506 ---- 雲桌面PC(18.X.Y.0/24)

部署方式：雖雙方均為固定IP，但因中間存在NAT裝置，且分支接入裝置採用了全網不可路由的私有地址，雙方不能完全互訪，只能單向訪問，故雙方採用野蠻模式對接；

IP 規劃：總部伺服器地址段(172.21.X.0/24)，分支地址段(18.X.Y.0/24)

注意點：

1 、H3C SecPath防火牆的IPSec透過配置ACL來定義需要過濾的資料流。在IPSec的應用中，操作為“允許”的ACL規則表示與之匹配的流量需要被IPSec保護，而操作為“禁止”的ACL規則表示與之匹配的那些流量不需要保護。為保證SA的成功建立，建議將IPSec對等體上的訪問控制列表映象配置，即保證兩端要保護的資料流範圍是映象的。

若IPSec對等體上的訪問控制列表配置非映象，那麼只有一種情況下，SA的協商是可以建立的。這種情況就是，一端的訪問控制列表規則定義的範圍是另外一端的子集。但需要注意的是，在這種ACL配置下，並不是任何一端發起的SA協商都可以成功，僅當保護範圍小(細粒度)的一端向保護範圍大(粗粒度)的一端發起的協商才能成功，反之則協商失敗。這是因為，協商響應方要求協商發起方傳送過來的資料必須在響應方可以接受的範圍之內。

2 、Sangfor NGAF的IPSec第1階段配置中，因為分中心出口IP在政務網內經過NAT，IP不可達，所以要選擇 對方為動態IP，模式選擇為 野蠻模式。關於身份字串資訊，深信服裝置支援IP地址、域名FQDN和使用者FQDN三種，這次實施中用 域名FQDN的方式成功了。另外需要注意，存在NAT環境時必須要 開啟NAT穿透功能。

配置：

H3C SecPath 防火牆配置

1 、設定流量特徵；

acl number 3999

允許符合如下規則的流量進入隧道

rule 0 permit ip source 18.X.Y.0 0.0.0.255 destination 172.21.X.0 0.0.0.255

2 、第一階段配置IKE引數：

ike proposal 1

  encryption-algorithm 3des-cbc

  dh group2                       //DH 群組2

  authentication-algorithm md5    // 認證演算法MD5

  sa duration 3600      // 第一階段sa生存時間設定為3600秒

ike keychain 1

  // 設定共享金鑰

  pre-shared-key address 2.34.X.Y 32 key si password

ike profile 1

  keychain 1

  exchange-mode aggressive         // 使用野蠻模式

  local-identity fqdn ZT-F1030             // 我方身份

  match remote identity fqdn ZX-Sangfor           // 對方身份

  match remote identity address 2.34.X.Y          // 總部IP

  proposal 1

3 、第二階段IPSec引數，配置安全提議：

IPSec transform-set ZT      // 安全提議名稱

  encapsulation-mode tunnel         // 傳輸模式：使用隧道模式

  protocol esp                      // 採用的安全協議

  esp authentication-algorithm md5  // 認證演算法

  esp encryption-algorithm 3des     // 加密演算法

以上引數與深信服裝置的安全選項一致。

配置安全策略：

IPSec policy 720896 1 isakmp   // 策略名稱、序號、使用IKE協商

  transform-set ZT             // 安全提議

  security acl 3999                 // 關聯ACL3999

  remote-address 2.34.X.Y

  ike-profile 1

  sa duration time-based 3600   // 第二階段sa生存時間3600秒

4 、關聯出介面

interface GigabitEthernet1/0/2

避免IPSec流量被nat轉換，否則會導致異常現象。h3c的產品有些可能並不支援這個命令，解決辦法是在nat規則裡面將IPSec流量特徵的資料deny掉，因為資料量一般是先執行nat轉換後執行路由的。

  IPSec apply policy 720896            // 關聯IPSec策略

Sangfor NGAF 配置

VPN 介面配置：

第一階段配置：

共享金鑰： password

第二階段

設定出入站策略，注意策略命名要便於後期去區別 IPSec 隧道。

完美金鑰向前保密華三的裝置也不一定可以支援，這個需要注意。

設定VPN出介面：