因為工作關係需要對接「Sangfor VPN」與「H3C SecPath」做 IP SEC VPN ( Site To Site ) 這邊會簡易做一個拓譜環境。
PS. 注意 H3C SecPath WEB UI 操作 IP SEC VPN 問題非常多推薦使用「指令」方式配置 ( WEB UI 不支持 IKE V2 配置 ),本環境採用「IKE V1」配置指令。
簡易拓譜環境
檢查「Sangfor VPN」配置
一. 第一階段 ( IKE Version 1 )
二. 第二阶段 - 入站策略 (對端內網)
三. 第二阶段 - 出站策略 (本地端內網)
四. 安全选项 ( 第二阶段 IPSec 参数 )
PS. 這邊只會講「IP SEC VPN」配置並不會講「策略」應該如何放行這是您自己應該學習的內功。
## Proposal configuration For IKE Version 1 ##
ike proposal 200
authentication-algorithm sha256
encryption-algorithm aes-cbc-256
authentication-method pre-share
dh group5
sa duration 86400
quit
## Keychain configuration For IKE Version 1 ##
ike keychain sangfor_key
pre-shared-key address 193.55.77.2 255.255.255.255 key simple landy
quit
## Profile configuration For IKE Version 1 ##
ike profile sangfor_profile
keychain sangfor_key
local-identity address 193.55.77.1
PS. 若您的「IP SEC VPN」採用「旁掛」透過「Firewall」映射, 就必須採用 (野蠻模式) 「aggressive」。
PS. 若您的「IP SEC VPN」直接是在「防火牆」配置請採用 (主模式)。
exchange-mode aggressive
match remote identity address 193.55.77.2 255.255.255.255
match local address 193.55.77.1
proposal 200
quit
## ACL Configuration of Customer VPN ##
acl advanced 3111
rule 10 permit ip source 172.30.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255
## Transform Set For IPSec ## ( Sangfor 安全选项 )
ipsec transform-set ipsec-sangfor
encapsulation-mode tunnel
protocol esp
esp authentication-algorithm sha1
esp encryption-algorithm aes-cbc-128
pfs dh-group5
quit
## Policy configuration For IPSec ##
PS. 建立連結「策略名稱」為「VPN」優先等級「1」
ipsec policy vpn 1 isakmp
transform-set ipsec-sangfor
security acl 3111
local-address 193.55.77.1
remote-address 193.55.77.2
ike-profile sangfor_profile
sa duration time-based 3600
#保證「數據」有流量,如果沒有該指令「兩邊沒有數據流」就會斷
sa trigger-mode auto
quit
## Apply IPsec Policy to Outbound Interface ##
PS. 綁定物理「出接口」
interface GigabitEthernet1/0/3
tcp mss 1379
PS. 引用「策略名稱」為「VPN」
ipsec apply policy vpn
quit
## 配置雙方「內網」不做「NAT」數據轉換 ##
object-group ip address h3c_lan
0 network subnet 172.30.0.0 255.255.255.0
object-group ip address sangfor_lan
0 network subnet 172.16.0.0 255.255.255.0
nat policy
rule name VPN_NO_NAT
source-ip h3c_lan
destination-ip sangfor_lan
outbound-interface GigabitEthernet1/0/3
action no-nat
# 檢查「IP SEC VPN」協議是/否協商成功 ##
display ikev sa
PS. 如果「H3C Firewall」同時有「連結」兩組「IP SEC VPN Site」,千萬要注意「名稱要依樣」但「優先級」要分開,這是「H3C Firewall」自身設備「BUG」。