SSL 设备单臂模式与 第三方对接标准IPSEC VPN

需求场景：
    国家某行政机关总部在广州，有几十个分支在全国各地，分支各种业务卡口24小时与总部内部系统信息核对自动放行，所以需要IPSEC VPN互联实现实时核对，为了不影响原有网络架构的改动，总部选择单臂部署ssl vpn，第三方设备映翰通网关部署。

首先确认某公司 VPN与第三方厂商的VPN对接需要满足的条件：
1、有第三方对接的授权  
2、对端是标准的IPSEC VPN
3、如果是网关模式部署的，某公司 VPN至少要4.0以上版本，如果是单臂部署的，某公司 VPN至少要5.0以上的版本

以下为我方单臂部署与第三方对接的配置（第三方配置略）

注意：因为是单臂部署的，需要在出口设备映射vpn设备lan口地址的UDP500和UDP4500

第一步:查看版本信息，确认设备有第三方对接的授权，并且第三方是标准的IPSEC VPN

第二步：设备基本网络配置，选择单臂部署

第三步：第三方对接（第三方提供的信息，双方网络配置保持一致）

第一阶段，单臂第三方对接只能选择野蛮模式

第二阶段，新建入站策略

第二阶段，新建出站策略

安全选项配置

至此，我方和第三方配置完毕之后，查看日志选择DLAN服务日志查看对接信息可以看到第一阶段隧道建立和第二阶段连接建立的相关信息

第三方映翰通对接成功测试

第三方对接后相关小知识：
设备上的连接显示还在，但是无法访问
1、对端手动清除了SA导致两端不一致
2、我方只支持按秒计时，对端同时启用按秒和按流量计时，生存期内流量已经超出，对端自动断开（建议两端设置一致SA，并只采用按秒计时）
3、两端有多个出入站策略，对端删除了全部出入站策略并只发了一个策略的删除载荷，而我端只删除了一个策略（建议第一阶段启用DPD防止标准IPSEC出现隧道黑洞）

大神非常6   哈哈 这个真没实施过 已收藏了

不错

非常棒，配置过程很清晰，感谢分享！

学习了，好东西

内网网关设备需要做静态路由吗？到对端内网网段下一跳指向VPN设备？

这个是昨天刚实施过，本以为只要是固定ip就可以用主模式，没想到不成功，然后问了下才知道 第三方设备也要用野蛮模式（手动捂脸）

不错，正好要用到，学习了

学习了，谢谢分享

不错，学习了