#原创分享#IPSEC VPN 第三方对接之（华为USG防火墙)

感谢分享，学习一下~

发布标题为#原创分享#的文章，可得S豆和现金奖励，点击去发帖！

“当前已有100+用户参与分享，共计发放奖励100000+“

->>>点击查看更多原创文章

---

一、环境情况

1）网络拓扑图

2）配置前准备

①确保某公司SSL VPN设备是否有第三方授权

在系统设置->系统配置->序列号中查看分支机构数目

②总部SSL VPN设备非网关模式部署，需要在出口设备配置好UDP 500、4500的端口映射

③总部SSL VPN单臂模式部署需要在核心交换机写到分支内网的回包路由，下一跳交给SSL VPN设备

二、某公司SSL VPN配置IPSEC VPN

1）在SSL VPN控制台->IPSec VPN设置->第三方对接->第一阶段中新增

第一阶段配置（需要两端配置参数一致）

2）在SSL VPN控制台->IPSec VPN设置->第三方对接->安全策略中查看默认的安全策略

安全策略需要两端配置一致，可以使用默认的也可以自定义（建议使用默认即可）

3）在SSL VPN控制台->IPSec VPN设置->第三方对接->第二阶段中配置出入站策略

入站是对端设备需要访问总部的网段

出站是本端SSL VPN设备回包或者访问对端的网段

注意SA生存实际（环境采用的是28800），需要两端配置的一致

如果对端设备支持完美向前保密可以选择勾选，如果不支持可以不勾选（如果勾选建议在IPSEC VPN连接成功后在勾选上）

注意事项：

如果有多个网段出入站，需要配置多条出入站策略

如果有多条出入站，建议先配置一条出入站，等后续隧道起来IPSEC VPN正常后再添加其他出入站网段

三、华为USG防火墙配置IPSEC VPN

1）在网络->IPSec->IPSec中新增

对对端设备第一阶段

待加密的数据流（对应某公司第二阶段出入站网段）

源是本端内网网段，目的是对端的内网网段

IKE参数对应对端第一阶段中的参数

IPSEC 参数对应对端安全选项

PFS和SA超时对应第二阶段出站中的参数

2）在网络->路由中添加到对端内网网段的路由，下一跳交给公网网关IP

3）在策略->安全策略，添加本端网段和对端网段的双向放通策略

4）在策略->NAT策略，添加本端网段到对端网段的策略，转换模式选择  不做转换

四、排错

1）通过查看某公司设备中的DLAN日志，通过日志中的告警检查对应的配置参数是否一致

2）可以通过华为USG->IPSEC VPN中的诊断查看异常的配置