深信服SSL对接赛迪云设备
先说下客户的拓扑,大体如下图(设计客户隐私,不可有详细拓扑):首先要在出口AD上面加两条目的地址转换,一条是500端口,一条是4500端口,由于AD涉密,所以没有截图。 然后是核心交换机上面要加一条目的地知道对端内网,下一条到VPN设备的静态路由。本次核心交换机是华为的,命令:ip route-static 对端内网 掩码 VPN地址
和客户沟通得知总部的VPN设备作为总部,赛迪云作为分支来组VPN,所以先在深信服设备上配置,如下: 设备第一阶段: 第一阶段--高级: 第二阶段出入站: 安全选项:
对端设备的配置:
因为是第一次和这个厂家合作,因此出了不少小问题,首先是两边算法、生命周期不一致(基础问题),两边修改成一致后,系统DLAN日志还是现实第一阶段对接失败: 就很纳闷,然后查阅资料得知,深信服设备不支持V2版本,对端设备修改成V1版本后,再次查看日志,依然是老的报错,通过查阅资料得知,和该厂商对接VPN需要把高级里的身份类型修改成ip地址才行(该厂商设备上没有这个功能,是默认的)。 修改之后,再看DLAN日志: 终于到了第二阶段,但是又失败了,真的是每次搞三方对接都不顺利,哎,继续排查问题,通过不懈努力,尝试着改了IP地址后终于对接成功了,原来对端写的是IP地址,我这边写的是ip段,这样都不行,ipsec VPN还真是得一模一样才行啊!! 之后就是测试业务了,虽然VPN搭起来了,但是业务一直测试不通,于是在本地服务器上面追踪路由: 竟然没到VPN!这是万万没想到的,按理说网关都在交换机上,上面那个路由是没有问题的,然后尝试在服务器上面添加了一条路由: 最后,再测试一次: yes,终于可以了,再试一下对端到本端: OK,虽然延迟比较大,但是这样之后VPN就能用起来了!搞了一天终于OK了。 |