本帖最后由 网泰王晓庆 于 2022-9-27 23:37 编辑
各位技术大牛好,本人小白,发表帖子经验较少,贴中观点仅为个人理解,有错误欢迎大家指正。 这次给大家带来的是深信服全网行为管理对接第三方设备思科路由器做IPSECVPN 一、因为客户现场是固定IP,所以选择注模式连接: 1、客户现有场景 1.1 客户总部有一台深信服全网行为管理,分支有思科的路由器,客户想通过IPSECVPN建立连接实现资源共享
1.2 客户总部与分支的出口都是固定的公网IP,所以选择主模式连接。(注:任何一端是拨号或者动态域名,用野蛮模式;任何一端设备不是直连公网,是被出口设备nat出去的,采用野蛮模式;两边vpn连接模式必须相同)
2、配置方法 2.1 全网行为管理路由模式部署在出口,通过公网能正常与思科设备进行连接 2.2 全网行为管理VPN配置中第三方对接的第一阶段配置 (注:任何一端是拨号或者动态域名,用野蛮模式) 2.2 第二阶段入站策略配置 2.3第二阶段出站策略配置 现在全网行为管理的配置就结束了,接下来配置对端ciso路由器就可以了
3、ciso配置如下: conf t //进入特权模式配置 crypto isakmp policy100 //创建isakmp策略(第一阶段) hash md5 //hash算法 encry 3des //加密算法 group 2 //D-H群 auth pre-share //身份认证方式 exit //退出isakmp策略配置 crypto isakmp peeraddress 201.1.1.2 //创建isakmp对端地址 set main-mode passwordsangfor //创建预共享密钥 exit//退出 crypto ipsec transform-setsangfor esp-3des esp-md5-hmac //创建变换集及策略 mode tunnel //配置成隧道模式 exit //退出
access-list 100 permitip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 100 permitip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255 //创建ACL,类似我们的出入站策略,允许本端网段访问对端网段 crypto map sangfor100 ipsec-isakmp //创建映射图 set peer 220.10.10.10//配置对端地址 set pfs group 2 //配置完美密钥向前保护(跟第一阶段一致) set transform-setsangfor //绑定变换集到映射图 set security-associationlifetime seconds 28800 //设置第二阶段SA时间 match address 100//匹配ACL exit //退出 inte0/0 //进入接口 crypto map sangfor//将映射图绑定到接口 exit //退出 4、配置完成之后测试效果
5、注意事项: 5.1、只支持ikev1版本,不支持ikev2,只支持隧道tunnel模式,不支持传输transform模式 5.2、第二阶段里面这个PFS也是有group选项的,只不过我们的PFSgroup选择默认跟第一阶段的group选项保持一致,有的厂商是可以自由配置的,如果有配置的时候需要保持跟我们一致 5.3、任何一端是拨号或者动态域名,用野蛮模式;任何一端设备不是直连公网,是被出口设备nat出去的,采用野蛮模式 5.4、ACvpn支持标准ipsec协议的对接,不分对方是什么厂商 5.5、第三方最重要的就是保持连接参数一致
好了,到这里就结束了,以上步骤纯属个人理解,欢迎各位大牛指正里面的遗漏和错误!!!
另外还有一句话,山外青山楼外楼,求个点赞行不行~~~~~ | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-9-28 11:42
技术员3级 
