×

#原创分享#深信服AF与维盟路由IPSEC对接
  

大white 67181人觉得有帮助

{{ttag.title}}
本帖最后由 大white 于 2019-11-7 21:03 编辑

分公司因业务需要,需架接总部与分公司ipsec隧道,以便使用相关业务系统。经查询资料得知某公司AF支持与第三方网络设备架接ipsec隧道

实施背景
总部:某公司AF,版本8.0.12;固定IP4个;部署模式为网关模式;设备需具有分支机构授权
分公司:维盟路由器,版本FBM-1021V V2.0-18.07.16A2V;固定IP1

某公司操作步骤
1.选择“接口/区域”-选择你的WAN-勾选“与IPsecvpn出口线路相匹配”

2.选择“网络”-IPsecVPN-“第三方对接”-“第一阶段”

3.选择“新增”,按照对话框内容填写相应信息
我这边总部是单线路,分公司也是单线路且有固定IP
认证方式我选择的预共享密钥,密钥设了个很多位的强密码
其余选项均采用默认

4.选择“第二阶段”,新增入/出站策略
新增入站策略:按对话框提示填写相应信息
请注意入站策略是填写对端网络的信息
新增出站策略:按对话框提示填写相应信息
请注意出站策略是填写本端网络的信息。
请注意勾选“启用密钥完美向前保密(PFS)”,因为维盟的IPSEC设置默认会勾选此项,而某公司ipsec默认不勾选。

5.安全选项采用默认配置即可

维盟路由操作步骤
1.登录路由器,选择“vpn应用”-Ipsec配置”-IPsec网对网”

2.首先开启ipsec网对网配置

3.按照对话框提示信息填写相应内容
请注意勾选“用ping保持连接”,如果不勾选,ipsec会断,具体原因维盟工程师没有解释
模式选择时请保持与某公司端一致
请注意“IPsec高级设置”里不要勾选“IP压缩”,如果勾选了此项,IPsec会建立不起来,这个是某公司工程师找出来的故障点
请注意加密模式、有效时间等请尽量采用默认值,如有修改请保持两端一致

结果校验
1.进入某公司AF,选择网络”-“ipsecvpn”-“dlan运行状态,查看策略是否运行

2.进入维盟路由,选择“vpn应用”-Ipsec配置”-IPsec隧道状态”,查看链接是否正常

3.最关键的一步了,不要在维盟路由上去ping某公司的内网,也不要在某公司上去ping维盟的内网,两边都ping不通的,这个是我血和泪的教训。在你映射的网段里面,找一台电脑去ping对方内网的电脑,ping通了就行。

对接总结
1.两端基本参数一定要一致,例如密钥算法、生存时间、加密模式、PFS等,但凡有一个不一致的,隧道都建不起来

2.建议有条件的话先两端全网映射ipsec,调试通了再缩小映射范围

3.学会使用系统故障日志,隧道建不起来,可以通过故障日志排查原因

最后感谢某公司和维盟的售后工程师,感谢他们的技术支持完成了此次对接工作。

打赏鼓励作者,期待更多好文!

打赏
5人已打赏

sangfor52783 发表于 2019-11-16 17:01
  
感谢分享,很典型的三方对接的案例,就如楼主所描述的,虽然大家都是使用的标准ipsec vpn,但因为产品设计的差异,所以还是会有很多不一样的地方存在,遇到了,没有参考,就免不要一些试错的过程。而这个案例,也能指导后续如果遇到和维盟路由器做vpn对接,少了试错了过程,非常有价值。
Sangfor_闪电回_朱丽 发表于 2019-11-8 16:24
  
您好,感谢您参与社区原创分享计划4,您的文章已被收录到计划中,交由专家评审小组评审,分享奖励将在活动结束后统一安排发放!分享越多,奖励越多,期待您更多的精彩分享哦!:感恩:
zhongxiongjun 发表于 2019-11-8 23:42
  
感谢分享
新手379206 发表于 2019-11-9 09:38
  
感谢分享,学习了,学习了
Brett 发表于 2019-11-9 09:53
  
学习了,多谢分享
Brett 发表于 2019-11-9 10:10
  
技术干货
新手411965 发表于 2019-11-9 15:54
  

11.11社区也狂欢 +11 S豆 详情>


学习了,多谢分享
沧海 发表于 2019-11-10 15:20
  
学了 多谢分享
新手379206 发表于 2019-11-10 15:56
  

11.11社区也狂欢 +11 S豆 详情>

学了 多谢分享
小丁 发表于 2019-11-10 23:03
  

11.11社区也狂欢 +11 S豆 详情>

感谢分享,学习了!
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
2023技术争霸赛专题
技术咨询
产品连连看
功能体验
标准化排查
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人