本帖最后由 大white 于 2019-11-7 21:03 编辑
分公司因业务需要,需架接总部与分公司ipsec隧道,以便使用相关业务系统。经查询资料得知某公司AF支持与第三方网络设备架接ipsec隧道
实施背景 总部:某公司AF,版本8.0.12;固定IP4个;部署模式为网关模式;设备需具有分支机构授权 分公司:维盟路由器,版本FBM-1021V V2.0-18.07.16A2V;固定IP1个
某公司操作步骤 1.选择“接口/区域”-选择你的WAN口-勾选“与IPsecvpn出口线路相匹配”
2.选择“网络”-“IPsecVPN”-“第三方对接”-“第一阶段”
3.选择“新增”,按照对话框内容填写相应信息 我这边总部是单线路,分公司也是单线路且有固定IP 认证方式我选择的预共享密钥,密钥设了个很多位的强密码 其余选项均采用默认
4.选择“第二阶段”,新增入/出站策略 新增入站策略:按对话框提示填写相应信息 请注意入站策略是填写对端网络的信息 新增出站策略:按对话框提示填写相应信息 请注意出站策略是填写本端网络的信息。 请注意勾选“启用密钥完美向前保密(PFS)”,因为维盟的IPSEC设置默认会勾选此项,而某公司ipsec默认不勾选。
5.安全选项采用默认配置即可
维盟路由操作步骤 1.登录路由器,选择“vpn应用”-“Ipsec配置”-“IPsec网对网”
2.首先开启ipsec网对网配置
3.按照对话框提示信息填写相应内容 请注意勾选“用ping保持连接”,如果不勾选,ipsec会断,具体原因维盟工程师没有解释 模式选择时请保持与某公司端一致 请注意“IPsec高级设置”里不要勾选“IP压缩”,如果勾选了此项,IPsec会建立不起来,这个是某公司工程师找出来的故障点 请注意加密模式、有效时间等请尽量采用默认值,如有修改请保持两端一致
结果校验 1.进入某公司AF,选择”网络”-“ipsecvpn”-“dlan运行状态,查看策略是否运行
2.进入维盟路由,选择“vpn应用”-“Ipsec配置”-“IPsec隧道状态”,查看链接是否正常
3.最关键的一步了,不要在维盟路由上去ping某公司的内网,也不要在某公司上去ping维盟的内网,两边都ping不通的,这个是我血和泪的教训。在你映射的网段里面,找一台电脑去ping对方内网的电脑,ping通了就行。
对接总结 1.两端基本参数一定要一致,例如密钥算法、生存时间、加密模式、PFS等,但凡有一个不一致的,隧道都建不起来
2.建议有条件的话先两端全网映射ipsec,调试通了再缩小映射范围
3.学会使用系统故障日志,隧道建不起来,可以通过故障日志排查原因
最后感谢某公司和维盟的售后工程师,感谢他们的技术支持完成了此次对接工作。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2019-11-16 17:01
发表于 2019-12-7 11:13
技术员2级 
