背景:深信服AF路由部署在客户出口,需要通过IPSEC对接云端的SAP系统,AF一定要巡检打包;如果AF双机场景还需要打vpn双机合包(见附件)。协调SAP导出SAP对端隧道相关配置,确认认证算法和加密算法等,这些要保持两边一致。 SAP配置里面的Encryption algorithm: aes-cbc-256,相当于深信服AF里面的AES-256。 SAP里面的 Encryption algorithm: esp-gcm 256,深信服设备也不支持这个加密算法,但是可以对接成功,应该是SAP对端加密算法支持自适应,类似深信服IPSEC里面阶段二安全提议里的6个默认的ESP协议和加密算法、认证算法等,这个在VPN日志里可以看到,协商失败的说明是两边算法不一致,只要匹配到算法一致的就会协商成功。
相关信息:AF设备版本:AF8.0.95.2062 Build20240712,SP_AF_OS_Spree_03_8095 Build20241211,SP_AF_OS_Online_ZL_01_8095 Build20250324 AF本端WAN口地址:XX.XX.8.170 SAP:XX.XX.119.26 IPSEC对接密钥(需要明文的密钥):SAP提供。
对接案例如下(已脱敏): 一、AF设备网口配置如下
二、配置VPN线路设置
三、IPSEC配置
四、IPSEC配置-SAP地址和共享密钥(密钥需要铭文的)
五、配置本端地址网段和对端地址网段(需要进入隧道的数据),阶段二安全提议默认即可。
六、IPSEC配置里面点击高级配置-IKE配置选择IKEv2,阶段一安全提议:加密算法选择AES256,认证算法:SHA1,伪随机数生成函数(PRF):SHA1,这个必须手动配置。
至此,AF对接SAP完成,业务测试正常。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术研究员1级 
