本帖最后由 小懒 于 2026-5-11 15:30 编辑
一、引言:跨品牌互通,说难也不难 二、对接规划:先对齐,再动手 1.环境信息 2.核心参数对照表(建议双方各执一份) 三、深信服AF侧配置 1.基本配置 2.IKE阶段(第一阶段) 3.IPSec阶段(第二阶段) 4.安全策略 四、飞塔FortiGate侧配置 1.网络配置 2.阶段1(IKE) 3.阶段2(IPSec) 4.防火墙策略 5.静态路由 五、效果验证与排错 1.检查隧道状态 2.测试连通性 3.排错指南:分两步走 六、总结
一、引言:跨品牌互通,说难也不难在企业网络里,跨品牌设备对接是常态,出问题也是常态。 明明配置看起来都对,隧道就是起不来;起来了吧,业务又不通。
本文基于深信服AF(v8.0.95) 与飞塔FortiGate-100F(v7.4.1) 的实际对接经验,把参数对照、配置步骤、以及踩过的坑分享出来。希望对正在做类似对接的朋友有帮助。
二、对接规划:先对齐,再动手在开始配置前,建议先和对方网络工程师确认以下信息,避免来回返工。 1.环境信息 | | | 本端(深信服) | AF-1000-FH2100B | v8.0.95 | 对端(飞塔) | FortiGate-100F | v7.4.1 |
不同版本的配置路径可能不同,先确认版本是排错的第一步。
2.核心参数对照表(建议双方各执一份) | | | | | IKE阶段 | IKE版本 | IKEv1 | IKEv1 | 必须一致 | 协商模式 | 野蛮模式 | 野蛮模式 | 推荐,兼容性好 | 预共享密钥 | Sangfor2Fortinet | Sangfor2Fortinet | 建议用复杂密码 | 加密/认证 | 3DES / SHA1 | 3DES / SHA1 | 完全一致 | DH组 | Group 5 | Group 5 | 完全一致 | 本端/对端ID | sangfor / fortigate | 对端ID填sangfor | 极易忽略 | IPSec阶段 | 加密/认证 | ESP / 3DES / SHA1 | ESP / 3DES / SHA1 | 完全一致 | PFS | 启用 / Group5 | 启用 / Group5 | 完全一致 | 本端子网 | 192.168.XX.0/24 | 10.253.XX.0/24 | 自己这边的内网 | 对端子网 | 10.253.XX.0/24 | 192.168.XX.0/24 | 对方的内网 |
三、深信服AF侧配置进入【网络】→【IPSec VPN】→【第三方对接】,点击新建。 1.基本配置 | | | 连接名称 | to_FortiGate | 自定义,易懂就行 | 对端设备地址类型 | 静态IP | 如果飞塔是固定公网IP | 认证方式 | 预共享密钥 | 填入 Sangfor2Fortinet | 本端线路出口 | 选择上网的物理接口 | 如 ETH1 |
2.IKE阶段(第一阶段) | | | IKE版本 | IKEv1 |
| 协商模式 | 野蛮模式 | 兼容性更好 | 本端身份ID | sangfor | 建议自定义,好记 | 对端身份ID | fortigate | 必须与飞塔侧配置的一致 | 加密/认证 | 3DES / SHA1 | 与飞塔严格一致 | DH组 | Group 5 |
| IKE SA超时 | 86400 | 与飞塔一致 | DPD/NAT-T | 启用 | 两端一致即可 |
踩坑提醒:野蛮模式下的身份ID是隧道建立的“暗号”,双方必须约定好并填对。ID对不上,隧道一定起不来。
3.IPSec阶段(第二阶段) | | | 协议 | ESP |
| 加密/认证 | 3DES / SHA1 | 与飞塔一致 | PFS | 启用 | DH组选 Group5 | IPSec SA超时 | 86400 |
| 本端子网 | 192.168.XX.0/24 | 自己这边的内网段 | 对端子网 | 10.253.XX.0/24 | 飞塔那边的内网段 |
踩坑提醒:“本端子网”和“对端子网”千万不能填反。这是第二阶段协商的基础,错了隧道能起来但流量不通。
4.安全策略 ① 第一步:创建VPN区域【网络】→【区域】,新建区域,类型选“VPN”。 ② 第二步:配置两条安全策略【策略】→【安全控制策略】,新建两条允许策略: | | | | | | 内网 → VPN | 内网区域 | vpntun | 192.168.XX.0/24 | 10.253.XX.0/24 | 允许 | VPN → 内网 | vpntun | 内网区域 | 10.253.XX.0/24 | 192.168.XX.0/24 | 允许 |
进入【VPN】→【IPSec隧道】,点击【新建】→【自定义】。 1.网络配置 | | | 名称 | SANGFOR_AF | 自定义 | 对端网关 | 静态IP |
| IP地址 | 深信服AF的公网IP |
| 接口 | 选择上网的外网口 |
| NAT-T / DPD | 启用 | 与深信服一致 |
2.阶段1(IKE) | | | 认证方法 | 预共享密钥 | 填入 Sangfor2Fortinet | IKE版本 | V1 |
| IKE模式 | 野蛮模式 |
| 对等设备身份ID | sangfor | 这是关键,必须填深信服侧的本端ID | 加密/认证 | 3DES / SHA1 | 与深信服一致 | DH Group | 5 |
| 密钥生存时间 | 86400 |
|
踩坑提醒:飞塔的“对等设备身份ID”,必须填入深信服侧配置的“本端身份ID”(本例中为sangfor)。这个不匹配,隧道绝对起不来。
3.阶段2(IPSec) | | | 名称 | to_SANGFOR |
| 本地地址 | 10.253.XX.0/24 | 飞塔自己的内网段 | 对端地址 | 192.168.XX.0/24 | 深信服的内网段 | 启用PFS | 是 | DH Group选5 |
4.防火墙策略【策略对象】→【防火墙策略】,创建一条允许策略: | | 流入接口 | any(或指定内网口/VPN接口) | 源地址 | 10.253.XX.0/24, 192.168.XX.0/24 | 流出接口 | any(或指定内网口/VPN接口) | 目的地址 | 10.253.XX.0/24, 192.168.XX.0/24 | 动作 | 接受 | 启用NAT | 否 |
5.静态路由【网络】→【静态路由】,新增: | | 目的地址 | 深信服侧内网段(192.168.XX.0/24) | 接口 | 选择刚创建的VPN隧道 |
五、效果验证与排错1.检查隧道状态 | | | 深信服 | 【网络】→【IPSec VPN】→【VPN运行状态】 | “已连接” | 飞塔 | 【VPN】→【IPSec隧道】 | “UP” |
2.测试连通性从飞塔内网PC(10.253.XX.XX)ping深信服内网服务器(192.168.XX.XX)。 能通且延迟稳定,恭喜,配置成功。
3.排错指南:分两步走①第一步:隧道起不来? | | 预共享密钥 | 有没有复制多余空格? | 加密/认证/DH组 | 两边是不是完全一样? | 野蛮模式ID | 飞塔的“对等设备身份ID”填对了吗? | 公网IP | 两边填的是对方的真实公网IP吗? | UDP端口 | 运营商有没有封UDP 500/4500? |
②第二步:隧道UP但流量不通? | | 保护子网 | 深信服的“对端子网”是不是飞塔的内网段?飞塔的“对端地址”是不是深信服的内网段?很多人会填反 | 静态路由 | 飞塔上有没有加指向深信服内网段、接口为VPN隧道的路由? | 安全策略 | 两边的策略有没有放通VPN隧道和内网网段? |
六、总结深信服与飞塔IPSec VPN对接,核心其实就一句话: 把第一阶段和第二阶段的每一个参数,都当成“密码”来核对,两端必须完全一致。 希望这份记录能帮你少踩一些坑。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2025-11-5 17:07
工程师1级 
