×

#原创分享#深信服AF与维盟路由IPSEC对接
  

大white 171

本帖最后由 大white 于 2019-11-7 21:03 编辑

分公司因业务需要,需架接总部与分公司ipsec隧道,以便使用相关业务系统。经查询资料得知深信服AF支持与第三方网络设备架接ipsec隧道

实施背景
总部:深信服AF,版本8.0.12;固定IP4个;部署模式为网关模式;设备需具有分支机构授权
分公司:维盟路由器,版本FBM-1021V V2.0-18.07.16A2V;固定IP1

深信服操作步骤
1.选择“接口/区域”-选择你的WAN-勾选“与IPsecvpn出口线路相匹配”
001.png

2.选择“网络”-IPsecVPN-“第三方对接”-“第一阶段”

3.选择“新增”,按照对话框内容填写相应信息
第2步.png
我这边总部是单线路,分公司也是单线路且有固定IP
认证方式我选择的预共享密钥,密钥设了个很多位的强密码
其余选项均采用默认
第2步效果.png

4.选择“第二阶段”,新增入/出站策略
新增入站策略:按对话框提示填写相应信息
请注意入站策略是填写对端网络的信息
第3步-1.png
新增出站策略:按对话框提示填写相应信息
请注意出站策略是填写本端网络的信息。
请注意勾选“启用密钥完美向前保密(PFS)”,因为维盟的IPSEC设置默认会勾选此项,而深信服ipsec默认不勾选。
第3步-2.png

5.安全选项采用默认配置即可

维盟路由操作步骤
1.登录路由器,选择“vpn应用”-Ipsec配置”-IPsec网对网”

2.首先开启ipsec网对网配置

3.按照对话框提示信息填写相应内容
请注意勾选“用ping保持连接”,如果不勾选,ipsec会断,具体原因维盟工程师没有解释
模式选择时请保持与深信服端一致
请注意“IPsec高级设置”里不要勾选“IP压缩”,如果勾选了此项,IPsec会建立不起来,这个是深信服工程师找出来的故障点
请注意加密模式、有效时间等请尽量采用默认值,如有修改请保持两端一致
第4步维盟设置.png

结果校验
1.进入深信服AF,选择网络”-“ipsecvpn”-“dlan运行状态,查看策略是否运行
第5步-1.png

2.进入维盟路由,选择“vpn应用”-Ipsec配置”-IPsec隧道状态”,查看链接是否正常
第5步-2.png

3.最关键的一步了,不要在维盟路由上去ping深信服的内网,也不要在深信服上去ping维盟的内网,两边都ping不通的,这个是我血和泪的教训。在你映射的网段里面,找一台电脑去ping对方内网的电脑,ping通了就行。

对接总结
1.两端基本参数一定要一致,例如密钥算法、生存时间、加密模式、PFS等,但凡有一个不一致的,隧道都建不起来

2.建议有条件的话先两端全网映射ipsec,调试通了再缩小映射范围

3.学会使用系统故障日志,隧道建不起来,可以通过故障日志排查原因

最后感谢深信服和维盟的售后工程师,感谢他们的技术支持完成了此次对接工作。

喜欢这篇文章吗?喜欢就给楼主打赏吧!

打赏
3人已打赏

×
有话想说?点这里!
可评论、可发帖
发表新帖

本版版主

127
102
6

发帖

粉丝

关注

本版热帖

本版达人

螺丝钉

本周建议达人

神奇轱辘

本周分享达人

adds

本周提问达人