【2022争霸赛*干货满满】深信服SSL与赛迪云对接IPSEC

深信服SSL对接赛迪云设备

先说下客户的拓扑，大体如下图（设计客户隐私，不可有详细拓扑）：

首先要在出口AD上面加两条目的地址转换，一条是500端口，一条是4500端口，由于AD涉密，所以没有截图。

然后是核心交换机上面要加一条目的地知道对端内网，下一条到VPN设备的静态路由。本次核心交换机是华为的，命令：ip route-static  对端内网     掩码       VPN地址

和客户沟通得知总部的VPN设备作为总部，赛迪云作为分支来组VPN，所以先在深信服设备上配置，如下：

设备第一阶段：

第一阶段--高级：

第二阶段出入站：

安全选项：

对端设备的配置：

因为是第一次和这个厂家合作，因此出了不少小问题，首先是两边算法、生命周期不一致（基础问题），两边修改成一致后，系统DLAN日志还是现实第一阶段对接失败：

就很纳闷，然后查阅资料得知，深信服设备不支持V2版本，对端设备修改成V1版本后，再次查看日志，依然是老的报错，通过查阅资料得知，和该厂商对接VPN需要把高级里的身份类型修改成ip地址才行（该厂商设备上没有这个功能，是默认的）。

修改之后，再看DLAN日志：

终于到了第二阶段，但是又失败了，真的是每次搞三方对接都不顺利，哎，继续排查问题，通过不懈努力，尝试着改了IP地址后终于对接成功了，原来对端写的是IP地址，我这边写的是ip段，这样都不行，ipsec VPN还真是得一模一样才行啊！！

之后就是测试业务了，虽然VPN搭起来了，但是业务一直测试不通，于是在本地服务器上面追踪路由：

竟然没到VPN！这是万万没想到的，按理说网关都在交换机上，上面那个路由是没有问题的，然后尝试在服务器上面添加了一条路由：

最后，再测试一次：

yes,终于可以了，再试一下对端到本端：

OK,虽然延迟比较大，但是这样之后VPN就能用起来了！搞了一天终于OK了。

感谢楼主分享！文章介绍了深信服与第三方对接ipsec的案例，整体描述清晰，对配置中的坑点也做了总结，期待楼主带来更多有价值的案例分享

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！