场景描述:
总部部署了某公司SSL VPN设备网关模式部署在网络出口,有固定IP;分支单位使用山石网科防火墙部署在网络出口,没有固定IP,使用PPPOE拨号;现在需要组件IPsec VPN网络,实现分支单位与总部数据库服务器的数据同步;
某公司 VPN配置: 第一阶段: 因对端为动态IP,故选则对端为动态IP,填写共享密钥,在高级中,设置第一阶段的参数信息;
第二阶段: 入站策略,设置为需要对端的网段;
出站策略,即本地需要访问对端的本地网段,另外还需要设置第二阶段的sa生存时间值,具体的参数没有严格要求,确保2端一致即可; 设置第二阶段的认证算法和加密算法,这里我们可以直接使用设备内置的“默认安全选项”。
山石防火墙设备配置: 第一阶段配置: 【配置】--【网络】--【IPsec VPN】,新建IPsec VPN配置参考对端的参数进行设置。 高级配置中,启用NAT穿透和DPD检测功能;
第二阶段配置: 设置需要互访的本地网段和对端网段; 在高级配置中可以开启自动连接功能,以维持隧道;
P1和P2提议的算法设置: 2个阶段中提议可以直接使用系统内置的也可以自己新建算法组合;
其他配置: 【配置】--【网络连接】,新建tunnel接口并绑定ipsec配置;
路由配置,将去往对端网段的下一跳指向tunnel接口;
访问控制,由于tunnel接口属于自建的ipsecvpn区域,默认与内网其他区域不能互通,故我们需要根据需要设置访问控制规则;
结果验证: 某公司端可以在dlan运行状态中查看到隧道的状态;
山石防火墙上可以在界面右侧ipsec监控中查看到第一阶段和第二阶段的状态;
PC端验证结果: | 
发表于 2016-12-10 23:19
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2016-12-12 09:08
技术员2级 
