SANGFOR跟天融信防火墙对接IPSEC
  

◇◆□乱拳打死老司机□◆◇ Lv10发表于 2017-11-20 14:16

SANGFOR跟天融信防火墙对接IPSEC

一、环境介绍:
某客户希望通过SANGFOR设备的IPSEC VPN和天融信防火墙的VPN互联,实现两端内网资源互访。

二、拓扑图介绍
832395a0e9cc2cdb6d.png


三、需求介绍
①实现两地局域网网段的互通。
②实现数据在网络传输加密。

四、注意事项:
①确保SANGFOR设备序列号里有分支授权。
②两端设备能正常上网,并且至少保证有一端有固定公网IP。
③配置第一阶段,确定传输模式,对通信双方进行身份认证,并在两端建立一条安全通道。(采用主模式或者野蛮模式)。
④配置安全选项,包括协议,认证算法,加密算法。
⑤配置第二阶段,在上述安全通道上协商IPSEC参数,设置出入站策略。
⑥当两端有一端是拔号的情况下只能采用野蛮模式。

五、配置步骤
天融信设备配置截图
①建立第一阶段(双方身份认证,设置参数需跟对端设备一致),如图:
721545a0e917f5a25c.png

②建立第二阶段(设置出入站策略,设置参数需跟对端设备一致),如图:
输入本端网段和对端子网网段,认证算法存活时间等参数必须跟对端设备保持一致。
268135a0e91ca33834.png

356455a0e941e409a8.png

③放开访问权限,如图:
260955a0e90f3456de.png


SANGFOR设备配置截图:
①建立第一阶段(双方身份认证,设置参数需跟对端设备一致),如图:
75055a0e8b41b0c2a.png

②建立第二阶段(设置出入站策略,设置参数需跟对端设备一致)。
入站策略:是输入需要访问对端设备的ip或者网段,如图:
969335a0e8cb11a276.png

出站策略:是输入本地设备的ip或者网段(设置参数需与对端设备一致),如图:
158455a0e8f7ccd309.png

③配置安全选项,这边的(加密密钥、认证算法等参数设置需与对端一致皆可),如图:
253245a0e8fec3c4f1.png

④查看VPN状态连接成功,如图:
298655a0e99fb13917.png

六、第三方对接不成功基本排查:
①使用升级客户端测试本地VPN设备上网情况
②测试总部VPN端口通信情况
③查看设备日志是否有报错和告警
④检查出入站策略是否配置正常,包含正确的内网网段。在【VPN信息设置】-【第三方对接】-【第二阶段】,仔细查看出入站策略是否有遗漏和配置错误,导致业务不通
⑤检查两方内网在路由是否可达,网络层配置是否存在问题
⑥检查是否为野蛮模式对接,但是两端NAT-T却没有开启。NAT-T在【VPN信息设置】-【第三方对接】选择对应的第三方对接点开【编辑】-【高级】,勾选【启用NAT-T穿越】或者是请检查前端网络是不是没有放通对ESP协议的穿透
⑦如果是第一阶段不成功:确认两端部署模式,然后按步骤检查第一阶段配置可能存在的问题,建议直接查看系统日志,日志筛选“DLAN总部”,点击调试日志,具体看调试日志有什么报错,根据对应的提示,检查两端相应的配置,根据提示着重查下两端共享密钥是否正确,两端验证的身份类型ID是否配置有问题。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

Sangfor_闪电回_朱丽 发表于 2017-11-20 14:22
  
有环境需求、有详细配置,还有各种注意事项,妹纸的分享,果然不一般!
必须点赞、打赏!
vito Lv3发表于 2017-11-23 13:48
  
好详细啊,厉害了!
nihongliang Lv5发表于 2017-11-24 02:19
  
妹纸写的一手好文档,我喜欢
kieJue Lv5发表于 2017-11-24 08:19
  
相当不错
稻草 Lv15发表于 2017-12-2 11:33
  
厉害啊。。。老司机!点赞!打赏!