深信服新架构防火墙与天融信对接IPSECVPN

一、先看网络拓扑

图解:最右边的图框是总部，下面有很多分支矿产，本次我负责的是左边深信服替换天融信防火墙下架，中间的分支是TP的企业级路由器替换成下架的天融信防火墙。

二、左边和右边用的sangforvpn组网，比较简单总部创建好账号，分支账号密码输入进入，本地子网写了，割接了直接就上线通了，有点太顺利了不适应。

三、主要看天融信和深信服防火墙对接ipesc

深信服配置端一阶段

用的野蛮模式，主模式也可以

二阶段

别忘了创建vpntun区域在应用控制策略里面放通LAN到vpntunu区域

四、天融信配置端

一、天融信需要配置nonat才能走到ipesc隧道里面

ipesc接口绑定

一阶段ipesc配置

二阶段本地子网

二阶段加密协议

应用控制策略

各项参数配置核对好，天融信和深信服两边的二阶段已经协商起来了，但是从中间的分支ping 左边的分支不通，文字拓扑

左边（A点）

深信服AF-天融信行为管理-核心-终端

中间（B点）

天融信防火墙-二层傻瓜交换机-终端

总部（C点）

深信服AD-深信服AF-深信服AC-核心-终端

B点下面的终端ping A点的终端都不通，但是二阶段都已经起来了，就是不通

查看隧道的MTU没有

那就从深信服防火墙上抓包看B点的数据是否过来了，抓包是过来的有数据，但是深信服下面终端就是不回包，然后从深信服防火墙ping下面的终端机IP也ping不通，

这就奇怪了，经过询问客户，下面核心是否有ACL或者其他安全设备拦截，客户说没有，这就僵局了，只能证明给客户看了，从防火墙ping下面的终端都不通证明给客户，客户一直说没有拦截，一直说原来天融信上防火墙就是正常的，经过和客户的论证一天时间，我说我方便登录核心和天融信行为管理查看下配置，经过自己的检查，核心确实没有配置任何ACL，但是问题就出在，深信服防火墙下面的天融信行为管理这了，天融信行为管理客户创建了一条默认所有拒绝的策略，不管是从WAN到LAN还是LAN到WAN需要单独加IP才可以通讯，这不就B点到A点的ipesc防火墙在往下走天融信行为管理给拦截了，让客户把B点的IP地址加到行为管理进去就，通了，通了，通了。

在看隧道的TMU

五、客户还要从B点访问C点

但是C点没有回B的路由，只能在A点深信服防火墙上加NAT

这样就可以从B点访问C点了，需要A点NAT转换