IPSEC第三方对接野蛮模式易尚和SANGFOR互联

interface Ethernet0/0nameif outsidesecurity-level 0ip address 218.70.37.233 255.255.255.248前提：接口IP、路由设置正常一、思科设备配置：路由设置：route outside 172.16.0.0 255.255.255.0 139.9.90.1991.定义VPN两端的访问地址段access-list outside_cryptomap extended permit ip host 192.168.168.243 172.16.0.0 255.255.255.0access-list outside_cryptomap extended permit ip192.168.168.0 255.255.255.0 172.16.0.0 255.255.255.02.定义VPN数据包不进行NAT转换access-list go-vpn extended permit ip 192.168.168.0 255.255.255.0 172.16.0.0 255.255.255.0nat (inside) 0 access-list go-vpn ---<nat_id> '0' is used to indicate no address translation for local IP3、定义ipsec变化集R1(config)#crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmacR1(cfg-crypto-trans)#exit4、定义IKE策略:R1(config)#crypto isakmp policy 5R1(config-isakmp)#encryption 3des---默认是DES加密---R1(config-isakmp)#hash sha /---默认是SHA-1---/R1(config-isakmp)#authentication pre-shareR1(config-isakmp)#group 2 /---默认是768位的DH1---/R1(config-isakmp)#lifetime 86400 /---默认是86400秒---/R1(config-isakmp)#exit5、定义通道组及欲共享秘钥ASA5510(config)# tunnel-group 139.9.90.199 ipsec-attributesASA5510(config-tunnel-ipsec)# pre-shared-key wjm@12345ASA5510(config-tunnel-ipsec)# keepalive disable6、配置加密图R1(config)#crypto map outside_map1 20 match outside_cryptomapcrypto map outside_map1 20 set pfs group1/---默认是group1---/crypto map outside_map1 20 set peer 139.9.90.199crypto map outside_map1 20 set transform-set ESP-3DES-SHA7、加密图并应用在接口上crypto map outside_map1 interface outside检查：show versionshow ip addressshow route outsideshow access-listshow run natshow run cryptoshow run tunnel-groupshow crypto isakmp sashow crypto ipsec sa排错：1.调试完成后发现vpn没有连接成功，可以利用debug工具（debug crypto isakmp 、debug crypto ipsec)进行排错。

客户需求：
C是总部，A跟B是分支，B和C用了sangfor AF，A跟C建立了第三方IPSEC VPN，B 跟C建立了第三方IPSEC VPN，A跟B没有建立VPN，现在需要实现A通过C访问B
解决方法：
说明：隧道间路由本身是没有隧道间路由的，但是可以通过配置来解决该问题，如上图的配置方法如下
A端的配置：
出站策略配置为：A网段，192.168.1.0
入站策略配置为：BC网段，192.168.2.0192.168.3.0
B端的配置：
出站策略配置为：B网段，192.168.3.0
入站策略配置为：AC网段，192.168.1.0192.168.2.0
C端的配置：
出站策略配置为：BC网段，192.168.2.0192.168.3.0-------->A
AC网段，192.168.1.0192.168.2.0-------->B
入站策略配置为：A网段，192.168.1.0------->A
B网段，192.168.3.0-------->B
数据分析：A访问B的时候，先匹配到出入栈策略丢给C，然后C匹配到出入站策略丢给B。

IPSec VPN解决方案技术（H3C）1.商业用户网络互连业务需求传统专线网基于现有的物理网络，例如数字电路、ATM/FR、DDN等，这种方式安全性和可靠性非常高，但对于客户来说，相应的建设成本和使用费用昂贵，并且只能实现有限的专网访问，缺乏联网的灵活性。

因此伴随互联网的发展，通过互联网搭建企业VPN得模式越来越引起客户的兴趣。

下面是Gartner对亚太区VPN市场的业务预测数据:年度2003200420052006200720082009数量(千台)1552292873423773944022004年中国VPN设备得市场规模达到2.2亿元，比2003年增长69.2%，从2000-2004年中国VPN设备市场得发展来看，5年间累计市场规模达到4.9亿元，复合增长率为64.6%。

下面是国内最近几年VPN业务发展统计数据:通过互联网组建VPN有两种方式，一种是企业自建，一种是租用运营商的VPN业务。

如果企业采用自建方式，通过在其公司总部架设VPN服务器（防火墙、NAT设备等），以允许可信赖的伙伴访问公司内网。

另外放置在每个节点的安全设备还用于对每一个在广域网上传输的数据包进行物理加密和解密，这种方式对于客户来说，专业技术要求较高，并且建设和维护成本大，客户对象一般是中、高端客户。

还有一种就是采取运营商转售的方式，由运营商提供给企业这种VPN的接入平台，并进行代维。

其基本的组网模式都是比较类似的，本文档统一描述。

2 .IP VPN技术方案比较VPN是指通过公众IP网络建立私有数据传输通道，将远程的分支办公室、商业伙伴、移动办公人员等连接起来，减轻企业的远程访问费用负担，节省电话费用开支，并且提供安全的端到端数据通讯。

电信运营商可以利用现有的互联网网络资源，将VPN作为一种增值业务推向企业，并从企业得到回报。

可以从不同的角度对VPN业务进行分类，如可以从接入方式(专线、拨号)，协议类型(二层、三层)，发起方等。

引：IPsec 报文原理这次说说IPsec另外两种场景，一种是做外网网关部署环境，一种是旁挂模式部署环境，一般防火墙直接挂在外网然后使用IPsec属于外网网关部署环境，如果VPN设备旁挂于核心或者防火墙之后非公网地址为单臂模式环境。

拓扑图：参旁挂模式拓扑。

针对单臂环境注：启明防火墙为旁挂模式部署一、引：启明星辰防火墙映射VPN需要的UDP 500与45006.4 配置步骤（1）配置网络连通性保证防火墙外网接口到互联网能够连通，内网接口到服务器能够连通。

（2）定义 IP 地址对象、开放端口对象在【防火墙】--【地址】--【地址】定义内网服务器地址。

在【防火墙】--【服务】--【基本服务】定义开放的端口号注：源端口低和高一般不需要填写，除非是客户端限定了访问源端口（3）配置端口映射规则在【防火墙】--【策略】--【NAT策略】--选择端口映射公开地址：需要映射的外网口地址（必须为物理接口或者别名设备地址）拨号用户选择拨号获取到的公网地址即可内部地址：在地址列表里定义的服务器地址对外服务：需要对外开放的端口，此处选择vpn端口注：系统预定义大量常用端口，可以直接使用对内服务：内网服务器需要开放的端口，此处选择vpn端口500、4500隐藏内部地址：可选。

如果取消选中，既能通过公开地址和端口访问内部服务器，也可以直接访问服务器；如果选中，只能通过公开地址和端口访问内部服务器如果需要内网用户通过访问公网地址来实现访问内网服务器，则需要将源地址转换为选择为防火墙内网接口地址。

（4）配置安全规则源地址选择any，目的地址选择为vpn，服务选择为vpn端口。

二、设置启明星辰配置（1）配置启明星辰VPN 接口地址进入【网络管理】-【网络接口】-【物理设备】，设置eth1和eth2为内外网口地址。

（2）配置防火墙IPsec基本属性（2）配置启明星辰VPN IPSEC---VPN规则进入【VPN】-【IPSec】-【VPN规则】-添加，设置本地保护子网为192.168.83.0/24，对端保护子网为192.168.82.0/24。

京东云WOC-Cloud版本安装配置指南目录目录 (1)一、介绍 (2)二、部署IPSECVPN之前的网络规划和准备 (2)三、京东云上部署WOC-Cloud的方法 (2)四、登录深信服WOC-Cloud的web控制台并获取授权序列号 (4)五、IPSECVPN隧道的配置 (6)一、介绍深信服WOC-Cloud是以软件镜像文件的方式存放在京东云上的，因此您需要先给WOC-Cloud提供京东云主机来安装搭建深信服WOC-Cloud服务器，实现为京东云的客户提供IPSECVPN的功能服务连接到京东云实现安全通信二、部署IPSECVPN之前的网络规划和准备1、京东云线上的私有网络内网网段和线下的IDC机房的内网网段不能相同，否则无法通信2、京东云线上所部署的深信服WOC-Cloud服务器必须部署在和实现访问的业务系统服务器在同一个地域的同一个私有网络里面，即在同一个局域网一样，本身就可互通注意：京东云市场部署vWOC组建ipsecvpn隧道，由于京东云VPC内网同一个网段无法在虚拟路由器上配置回包路由，所以vWOC的虚拟机和云端的业务虚拟机一定要划分在不同子网网段3、线下的IDC机房的ipsecvpn硬件设备可以是我们深信服的vpn硬件设备，也可以是其他厂商的vpn硬件设备，如果是其他厂商的vpn硬件设备，必须要支持标准的ipsecvpn协议，支持ikeV1版本三、京东云上部署WOC-Cloud的方法入口1、从京东云市场购买从京东云市场，搜索“深信服”就可以看到如下深信服WOC-Cloud产品，点击链接进去即可看到WOC-Cloud相关的产品介绍点击“立即订购”就会显示京东云主机相关部署地域网络类型镜像文件的选择，如下截图：针对上面各个购买选项，下面做相关讲解：地域：购买之前务必先核实好京东云上的业务服务器本身在什么地域，什么私有网络名称，那么在部署深信服WOC-Cloud 服务器的时候，地域要选择相同的，私有网络名称也要选择相同的，否则会导致深信服WOC-Cloud 服务器本身与其他业务服务器不能通信而导致VPN 隧道不能通信镜像：镜像类型选择镜像市场，选择深信服WOC-Cloud 镜像文件，如上截图所示规格：存储：选择安装深信服WOC-Cloud的京东云服务器的内存和CPU和硬盘网络：只能选择私有网络，选择和业务服务器相同的私有网络名称安全组的概念是京东云服务器可以添加属于这个安全组，安全组有入方向和出方向的规则，可以对数据出入做允许拒绝带宽：给深信服WOC-Cloud的京东云服务器选择网络环境合适的公网IP带宽计费，具体点击查看详情基本信息：描述下这台京东云服务器的用途，设置下root的密码，此处的密码就是深信服WOC-Cloud 的京东云服务器的web控制台管理页面的admin的密码购买量：选择购买时长到此，付款购买了后，深信服WOC-Cloud的京东云服务器即搭建好了入口2、从京东云管理控制台购买使用京东云账号进入京东云管理控制台，选择云主机--实例--点击创建然后接下来的配置和入口一的方法是一样的，请参考入口一的相关讲解四、登录深信服WOC-Cloud的web控制台并获取授权序列号1、给安装深信服WOC-Cloud的京东云服务器绑定了适合自己网络环境的公网IP地址后，打开web浏览器，在地址栏输入https://弹性公网ip，登录深信服WOC-Cloud的web控制台页面（弹性公网IP地址查询如下截图）如果未绑定弹性公网IP地址，可以在VPC网络中的其他windows的ecs服务器上打开浏览器地址栏输入https://私有IP，登录深信服WOC-Cloud的web控制台页面（私有IP地址查询如下截图）如上图，深信服WOC-Cloud的web控制台页面的默认账号：admin，密码是购买深信服WOC-Cloud的时候在基本信息里面所设置的密码，如果密码忘记了，可以在京东云控制台上实例页面找到深信服WOC-Cloud的云主机，更多操作里面可以点击重设密码的2、获得深信服WOC-Cloud的授权序列号：进入到维护-序列号页面，提供8位数的网关ID联系深信服售后开通授权序列号到此，深信服WOC-Cloud服务器即搭建好了，接下来开始ipsecvpn的配置五、IPSECVPN隧道的配置场景一、京东云上和云下IDC机房内网均为深信服的VPN设备，可以直接用深信服的Sangforvpn来配置连接，也可以用标准的ipsecvpn即为第三方对接来配置，以下为sangforvpn 的配置方法（配置之前，如果云端是做vpn总部，先要在vWOC虚拟机的安全组入方向放通tcp/udp4009端口）假设京东云深信服WOC-Cloud服务器做VPN的总部，弹性公网IP假设是3.3.3.3，云下IDC 机房的深信服VPN硬件设备做VPN的分支步骤1、京东云深信服WOC-Cloud服务器的配置：点击Sangforvpn-服务端-基本设置，设置主webagent地址：京东云深信服WOC-Cloud服务器绑定的弹性公网IP:4009，点击保存生效步骤2、京东云深信服WOC-Cloud服务器的配置：点击Sangforvpn-服务端-用户管理，点击新建用户，给云下的分支VPN设备创建接入VPN的分支账号和密码，类型选择分支，点击确定步骤3、打开IDC机房的深信服VPN硬件设备，点击Sangforvpn-客户端-连接管理，点击创建，主webagent地址填写总部VPN基本设置里面设置的地址信息，填写总部给分支VPN创建的VPN用户名和密码，点击确认如上配置后，点击状态-VPN状态，查看IPSECVPN隧道是否有连接起来步骤4、如果京东云私有网络或云下机房内网还有其他多网段，即和VPN设备本身不在同一个网段的其他网段也要和IPSECVPN对端通信的话，那么必须把这个其他多网段添加到本端VPN设备的VPN本端子网里面，这样对端VPN设备上才会自动生成这个网段的vpn路由的，配置如下（哪端内网有多网段就在哪端内网的VPN设备上添加VPN本地子网）步骤5、添加私有网络的路由到深信服WOC-Cloud服务器上，实现云上私有网络内网的其他云服务器和云下IDC机房内网的服务器相互通信，如下，点击路由表--创建，先创建一个路由表的名称，然后编辑路由表名称再给关联子网和配置路由条目，目标网段是云下IDC机房内网的网段，下一跳是京东云深信服WOC-Cloud云主机场景二、京东云上是深信服的WOC-Cloud服务器和云下是其他厂商的VPN设备，配置标准的ipsecvpn隧道，即配置第三方对接（配置之前，先在vWOC虚拟机的安全组入方向放通udp4500和udp500端口）打开京东云深信服WOC-Cloud的web控制台管理页面，点击IPSec VPN-IPSec连接，配置第一阶段，第二阶段，安全选项，第一阶段里面的配置参数要和其他厂商VPN设备上的第一阶段的配置参数一致，第二阶段里面的配置参数要和其他厂商VPN设备上的第二阶段配置参数一致，这样IPSECVPN隧道才可以协商建立起来，具体的配置文档请参考我们第三方对接的配置案例文档，配置如下：环境说明：京东云深信服WOC-Cloud服务器和易尚设备都是直接接公网，易尚内网有172.16.8.0/24网段，公网IP为：113.105.x.x，深信服设备内网有192.168.0.0/24网段，公网IP为：183.62.x.x易尚设备配置1．设置第一阶段参数，配置如图，点击【虚拟专网】-【IPSEC】，进入VPN设置【模式】野蛮模式【认证方式】：预共享密钥【预共享密钥】：123456【对等体选项】：接受此对等体ID jysoft【DH组】：2【密钥周期】：3600【本地ID】:jysoft1【加密算法】3DES【认证算法】SHA12、设置第二阶段参数，选择【阶段2】，如下图进行设置：【阶段2交互方案】：加密算法3DES,认证算法MD5【密钥周期】3600【启用完全转发完全性PFS】启用3、步骤1：设置【防火墙】-【地址】，添加Sangfor内网网段地址：192.168.0.0/255.255.255.0步骤2：设置【防火墙】-【策略】，新建一条策略，放通vpn隧道进出数据，【源】-【地址名】:Internal-All【目的】-【地址名】：深信服地址【模式】：ENCRYPT深信服配置界面1、第一阶段设置，步骤1：根据易尚的设置，设置深信服配置【第三方对接】-【设备列表】【模式】：野蛮模式【固定IP】：易尚公网的ip：113.105.x.x【预共享密钥】：123456【ISAKMP】：3600【D-H群】：MODP1024群（2）【身份类型】：域名字符串(FQDN)【我方身份ID】jysoft【对方身份ID】jysoft1【ISAKMP算法列表】-【认证算法】：SHA-1,【加密算法】：3DES步骤2：【安全选项】，新建一条安全选项或用默认安全选项,【认证算法】：MD5,【加密算法】：3DES，此选项是属于第二阶段里面的加密和认证算法配置步骤3：第二阶段，设置出站策略和入站策略出站策略如图：【源IP类型】：子网+掩码，子网和掩码是深信服WOC的lan口内网网段【安全选项】：引用步骤2的安全选项配置，跟易尚防火墙第二阶段设置的加密和认证算法要一致。

SANGFOR 提升带宽价值华为设备与SANGFOR 设备野蛮模式标准IPSEC VPN 互联一、网络环境：华为配置：#ike local-name xhdc //对方身份ID#ike proposal 1//阶段一encryption-algorithm 3des-cbc //加密算法dh group2//DH 组authentication-algorithm md5//认证算法sa duration 3600//生存时间#ike peer ikepeerexchange-mode aggressive //野蛮模式pre-shared-key sangfor //域共享keyid-type nameremote-name sinfor //我方身份IDCremote-address220.167.166.50//总部ip对等体#ipsec proposal ipsec//阶段二esp authentication-algorithm sha1//认证算法注意：默认会有加密算法#ipsec policy11security acl3001//匹配入站出站pfs dh-group2//完美向前保密ike-peer ikepeer//调用peerproposal ipsec//调用ipsec#acl number3001rule0permit ip source10.11.0.00.0.255.255destination10.1.0.00.0.255.255 acl number3002rule0deny ip source10.11.0.00.0.255.255destination10.1.0.00.0.255.255 rule1permit ip source10.11.0.00.0.255.255#interface Ethernet0/0ip address125.72.164.106255.255.255.248nat outbound3002//这条很重要，10.11.0.0/16到10.1.0.0/16不做nat ipsec policy adtpolicy//在外网口启用ipsceSANGFOR设备的配置：密钥：sangfor阶段二出站和acl匹配启用完美向前保密入站和acl匹配。