#原创分享#深信服AF对接H3C SecBlade防火墙模块（IPSec VPN）

      需求描述：两个分支机构需要通过互联网传输相关数据，并且加密数据流。分支机构间出口分别部署了深信服AF以及H3C SecBlade防火墙模块，利用两台设备来建立IPsecVPN，记录下如何配置，H3C和深信服防火墙之间的访问控制策略配置省略。

先配置H3C SecBlade防火墙模块。

配置对等体，配置本端公网IP,对端IP,以及预共享密钥。

配置安全提议，MD5,3DES，DH2，和深信服那边配置一致

ACL配置，匹配出站和入站保护子网

IPSEC安全提议，封装模式tunnel MD5,3DES

配置ipsec策略，IKE对等体选刚才配置的，IPsec安全提议选刚才配置的，ACL选刚才配置的。

应用ipsec出接口

接下来配置深信服（配置的参数都保持和H3C这边一致，只是UI界面不一样而已）

首先选择VPN出接口

配置第一阶段，输入对端H3C接口IP和共享密钥。

高级设置配置dh组，md5认证，3des加密

准备配置第二阶段协商，在这之前先配置安全选项，MD5认证，3des加密

第二阶段协商入站规则，加入本端保护子网，输入匹配的入站地址

第二阶段协商出站规则，加入对端保护子网，输入匹配的出站IP。

配置完毕后，可以看到深信服隧道建立情况。

至此，完成深信服AF和H3C SecBlade防火墙模块IPSecVPN对接。

楼主设备对接经验真是丰富

对接步骤有时候很有用

您好，感谢您参与社区原创分享计划5，您的文章已被收录到计划中，交由专家评审小组评审，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:

楼主设备对接经验真是丰富

深信服AF对接H3C，经典

楼主分享的很详细。做深信服AF和华三的ipsec vpn对接时需要注意，深信服AF的这边的如果没有将VPNtun口加入到区域中，那么默认的应用控制策略是不会拦截ipsec对接的数据的，但是华三这边需要手动配置方通的acl策略才能正常对接并且正常交互数据，这个需要注意一下。

写的很好，很有借鉴作用

学到了，细节突出，很到位

楼主经验很丰富