SANGFOR NGAF 与H3C SecPath系列(V7)防火墙第三方IPsec对接

方案概述：

客户总部中心部署深信服的NGAF，乡镇分中心部署H3C SecPath系列防火墙，需要实现分中心通过IPSec访问总部中心接入的专线的服务器。

组网拓扑：服务器(172.21.X.0/24) ----专线---- Sangfor AF ---- 市级电子政务网 ---- (外)NAT设备(内) ---- H3C SecPath防火墙 ---- H3C S7506 ---- 云桌面PC(18.X.Y.0/24)

部署方式：虽双方均为固定IP，但因中间存在NAT设备，且分支接入设备采用了全网不可路由的私有地址，双方不能完全互访，只能单向访问，故双方采用野蛮模式对接；

IP 规划：总部服务器地址段(172.21.X.0/24)，分支地址段(18.X.Y.0/24)

注意点：

1 、H3C SecPath防火墙的IPSec通过配置ACL来定义需要过滤的数据流。在IPSec的应用中，操作为“允许”的ACL规则表示与之匹配的流量需要被IPSec保护，而操作为“禁止”的ACL规则表示与之匹配的那些流量不需要保护。为保证SA的成功建立，建议将IPSec对等体上的访问控制列表镜像配置，即保证两端要保护的数据流范围是镜像的。

若IPSec对等体上的访问控制列表配置非镜像，那么只有一种情况下，SA的协商是可以建立的。这种情况就是，一端的访问控制列表规则定义的范围是另外一端的子集。但需要注意的是，在这种ACL配置下，并不是任何一端发起的SA协商都可以成功，仅当保护范围小(细粒度)的一端向保护范围大(粗粒度)的一端发起的协商才能成功，反之则协商失败。这是因为，协商响应方要求协商发起方发送过来的数据必须在响应方可以接受的范围之内。

2 、Sangfor NGAF的IPSec第1阶段配置中，因为分中心出口IP在政务网内经过NAT，IP不可达，所以要选择 对方为动态IP，模式选择为 野蛮模式。关于身份字符串信息，深信服设备支持IP地址、域名FQDN和用户FQDN三种，这次实施中用 域名FQDN的方式成功了。另外需要注意，存在NAT环境时必须要 开启NAT穿透功能。

配置：

H3C SecPath 防火墙配置

1 、设置流量特征；

acl number 3999

允许符合如下规则的流量进入隧道

rule 0 permit ip source 18.X.Y.0 0.0.0.255 destination 172.21.X.0 0.0.0.255

2 、第一阶段配置IKE参数：

ike proposal 1

  encryption-algorithm 3des-cbc

  dh group2                       //DH 群组2

  authentication-algorithm md5    // 认证算法MD5

  sa duration 3600      // 第一阶段sa生存时间设置为3600秒

ike keychain 1

  // 设置共享密钥

  pre-shared-key address 2.34.X.Y 32 key si password

ike profile 1

  keychain 1

  exchange-mode aggressive         // 使用野蛮模式

  local-identity fqdn ZT-F1030             // 我方身份

  match remote identity fqdn ZX-Sangfor           // 对方身份

  match remote identity address 2.34.X.Y          // 总部IP

  proposal 1

3 、第二阶段IPSec参数，配置安全提议：

IPSec transform-set ZT      // 安全提议名称

  encapsulation-mode tunnel         // 传输模式：使用隧道模式

  protocol esp                      // 采用的安全协议

  esp authentication-algorithm md5  // 认证算法

  esp encryption-algorithm 3des     // 加密算法

以上参数与深信服设备的安全选项一致。

配置安全策略：

IPSec policy 720896 1 isakmp   // 策略名称、序号、使用IKE协商

  transform-set ZT             // 安全提议

  security acl 3999                 // 关联ACL3999

  remote-address 2.34.X.Y

  ike-profile 1

  sa duration time-based 3600   // 第二阶段sa生存时间3600秒

4 、关联出接口

interface GigabitEthernet1/0/2

避免IPSec流量被nat转换，否则会导致异常现象。h3c的产品有些可能并不支持这个命令，解决办法是在nat规则里面将IPSec流量特征的数据deny掉，因为数据量一般是先执行nat转换后执行路由的。

  IPSec apply policy 720896            // 关联IPSec策略

Sangfor NGAF 配置

VPN 接口配置：

第一阶段配置：

共享密钥： password

第二阶段

设置出入站策略，注意策略命名要便于后期去区别 IPSec 隧道。

完美密钥向前保密华三的设备也不一定可以支持，这个需要注意。

设置VPN出接口：