#原创分享#IPSEC VPN 第三方对接之（锐捷网关）

发布标题为#原创分享#的文章，可得S豆和现金奖励，点击去发帖！

“当前已有100+用户参与分享，共计发放奖励60000+“

一、环境情况

1）网络拓扑图

2）配置前准备

①确保某公司SSL VPN设备是否有第三方授权

在系统设置->系统配置->序列号中查看分支机构数目

②总部SSL VPN设备非网关模式部署，需要在出口设备配置好UDP 500、4500的端口映射

③总部SSL VPN单臂模式部署需要在核心交换机写到分支锐捷设备内网的回包路由，下一跳交给SSL VPN设备

二、某公司SSL VPN配置IPSEC VPN

1）在SSL VPN控制台->IPSec VPN设置->第三方对接->第一阶段中新增

设备名称：自定义

设备地址类型：根据对端锐捷设备IP地址类型选择（对端是拨号自动获取IP，所以我们这里选择对端你是动态）

认证方式选择：预共享密钥（密钥自定义，需要两端设备配置的一致，）

ISAKMP存活时间：可以自定义，也可以选择默认的（需要两端的存活时间一致，环境使用3600秒）

重连次数：默认即可

支持模式：选择野蛮模式（两端设备都是网关模式固定公网IP选择主模式，其他都选择野蛮模式）

D-H群：可以自定义，也可以默认（需要两端配置的一致，环境使用MODP1024群（2））

本端身份类型：自定义选择（需要查看对端设备是否支持选择的协议，选择两端都支持的身份类型，环境使用  用户字符串，建议本端和对端使用的一致）

本端身份ID：自定义（需要两边对调使用，环境使用 sangfor）

对端身份类型：自定义选择（需要查看对端设备是否支持选择的协议，选择两端都支持的身份类型，环境使用  用户字符串，建议本端和对端使用的一致）

对端身份ID：自定义（需要两边对调使用，环境使用 ruijie）

DPD跟进实际情况选择，如果对端支持DPD可以勾选，不支持不勾选（间隔时间自定义）

存在NAT穿透环境需要勾选，一般野蛮模式都建议勾选

ISAKMP算法列表：自定义（需要两端，环境使用认证算法MD5，加密算法3DES）

2）在SSL VPN控制台->IPSec VPN设置->第三方对接->安全策略中查看默认的安全策略

安全策略需要两端配置一致，可以使用默认的也可以自定义（建议使用默认即可）

如果使用自定义的需要在下面第二阶段中的出站策略安全选项中选择自定义的安全选项

3）在SSL VPN控制台->IPSec VPN设置->第三方对接->第二阶段中配置出入站策略

入站是对端锐捷设备需要访问总部的网段

出站是本端SSL VPN设备回包或者访问锐捷端的网段

注意SA生存实际（环境采用的是28800），需要两端配置的一致

如果对端设备支持完美向前保密可以选择勾选，如果不支持可以不勾选（如果勾选建议在IPSEC VPN连接成功后在勾选上）

注意事项：

如果有多个网段出入站，需要配置多条出入站策略

如果有多条出入站，建议先配置一条出入站，等后续隧道起来IPSEC VPN正常后再添加其他出入站网段

三、锐捷RG-EG网关配置IPSEC VPN

1）登录锐捷RG-EG网关，在网络->接口配置中查看接口，确保连接互联网的接口是外网属性

2）在网络->VPN配置中点击开始配置

3）选择分支机构

4）VPN类型选择： IPSEC

总部公网IP或域名： 总部SSL VPN的出口公网IP

预共享密钥：需要和总部配置的共享密钥一致

应用接口：选择和总部连接的外网接口

本地网段是本端需要访问总部的网段（对应SSL VPN第二阶段的入站策略），总部网段是被访问的网段（对应SSL VPN第二阶段的出站策略）

点高级设置

身份验证：勾选启用

验证方式：（USER FQDN）对应总部设备第一阶段的身份类型

本机ID：（ruijie），对应总部设备第一阶段的对端身份ID

对端ID：（sangfor )，对应总部设备第一阶段的本端身份ID

协商模式：野蛮模式

IKE策略

加密算法：（3DES），散列算法（MD5），对应总部设备第一阶段高级中的ISAKMP算法

DH组：（group2），对应总部设备第一阶段高级中的D-H群

生命周期：（28800），对应总部设备第二阶段出站策略的SA生存时间

转换集1：（esp-3des  esp-md5-hmac），对应总部设备安全选项

完美向前加密：不启用（也可以启用，总部某公司设备也是支持的，默认是group2，这个无法修改）

IPSec隧道生命周期：（3600），对应总部设备第一阶段高级中的ISAKMP存活时间

DPD探测类型：（选择periodic），对应总部设备第一阶段高级中的DPD

DPD探测周期：（5秒），对应总部设备第一阶段高级中的检测间隔

三、IPSEC VPN无法建立成功排错

1）先查看总部sangfor设备日志

①在系统维护->日志查看->配置选项中采选只看DLAN总部的日志

②通过查看日志发现第一阶段协商成功，一直没有看到第二阶段协商情况，说明问题出在第二阶段（由于对端是动态IP，只能等待对端主动连接总部，所以总部是看不到第二阶段协商异常的信息）

2）查看锐捷设备日志

在高级->系统日志->查看系统日志中查看

发现有明确的说明第一阶段数据包发送程哥，第二阶段失败，也没有说明具体失败原因（那么只有仔细核对两边第二阶段的配置了）

3）总部设备主要核对第二阶段中出去站网段是否配置正确，出站策略的SA生存时间，是否启用完美向前保密，安全选项中的这些参数两端必须要保持一致

锐捷设备主要核对生命周期，转换集1（最容易出错的地方），完美向前加密，隧道访问网段，确保两边配置一致

4、检查业务访问情况

1）IPSEC vpn连接成功后可以在总部的IPSec VPN设置->运行状态中看连接情况

2）锐捷设备在网络->VPN配置-点击总部可以看到连接情况，显示已连接说明IPSEC VPN隧道已经建立成功

3）通过锐捷端的内网PCping总部业务地址能正常访问，说明IPSEC VPN隧道正常，业务也正常

感谢楼主精彩的分享，标准IPSEC VPN配置很详细，还把锐捷上的配置也一一说明了，对锐捷不熟悉的学习也很有帮助，另外也指出了标准IPSEC VPN对接不成功的排错指导，非常完整了:感恩:
在此补充下主模式和野蛮模式的应用场景
两边VPN设备如果中间有NAT环境，建议用野蛮模式
其他场景：
1、如果两方都是固定IP，中间没有NAT环境，那么可以用野蛮模式也可以用主动模式
2、如果对方是ADSL拨号，中间没有NAT环境。若对方能申请域名，那么可以野蛮模式也可以主动模式；若对方不能申请域名，那么只能用野蛮模式，填写对方是动态IP
3、如果双方都是ADSL拨号，没有NAT环境。双方都可以申请到域名，那么可以野蛮模式也可以主动模式；若只有一方能申请到域名，那么只能用野蛮模式，填写对方是动态IP；若两方都无法申请域名，此时标准IPSEC无法建立

学习学习

打卡学习

学习学习

有图有真相，功底扎实，一看就是老师。

很好。能说明一下排错中2阶段不成功的原因吗？

大神的文章真如“大音希声扫阴翳”，犹如”拨开云雾见青天”，使我等求知者看到了希望，看到了未来!

打卡学习

厉害，学习了

学习到了，对第三方VPN这块比较薄弱