|
一、环境介绍: 某客户希望通过SANGFOR设备的IPSEC VPN和天融信防火墙的VPN互联,实现两端内网资源互访。
二、拓扑图介绍
三、需求介绍 ①实现两地局域网网段的互通。 ②实现数据在网络传输加密。
四、注意事项: ①确保SANGFOR设备序列号里有分支授权。 ②两端设备能正常上网,并且至少保证有一端有固定公网IP。 ③配置第一阶段,确定传输模式,对通信双方进行身份认证,并在两端建立一条安全通道。(采用主模式或者野蛮模式)。 ④配置安全选项,包括协议,认证算法,加密算法。 ⑤配置第二阶段,在上述安全通道上协商IPSEC参数,设置出入站策略。 ⑥当两端有一端是拔号的情况下只能采用野蛮模式。
五、配置步骤 天融信设备配置截图 ①建立第一阶段(双方身份认证,设置参数需跟对端设备一致),如图:
②建立第二阶段(设置出入站策略,设置参数需跟对端设备一致),如图: 输入本端网段和对端子网网段,认证算法存活时间等参数必须跟对端设备保持一致。
③放开访问权限,如图:
SANGFOR设备配置截图: ①建立第一阶段(双方身份认证,设置参数需跟对端设备一致),如图:
②建立第二阶段(设置出入站策略,设置参数需跟对端设备一致)。 入站策略:是输入需要访问对端设备的ip或者网段,如图:
出站策略:是输入本地设备的ip或者网段(设置参数需与对端设备一致),如图:
③配置安全选项,这边的(加密密钥、认证算法等参数设置需与对端一致皆可),如图:
④查看VPN状态连接成功,如图:
六、第三方对接不成功基本排查: ①使用升级客户端测试本地VPN设备上网情况 ②测试总部VPN端口通信情况 ③查看设备日志是否有报错和告警 ④检查出入站策略是否配置正常,包含正确的内网网段。在【VPN信息设置】-【第三方对接】-【第二阶段】,仔细查看出入站策略是否有遗漏和配置错误,导致业务不通 ⑤检查两方内网在路由是否可达,网络层配置是否存在问题 ⑥检查是否为野蛮模式对接,但是两端NAT-T却没有开启。NAT-T在【VPN信息设置】-【第三方对接】选择对应的第三方对接点开【编辑】-【高级】,勾选【启用NAT-T穿越】或者是请检查前端网络是不是没有放通对ESP协议的穿透 ⑦如果是第一阶段不成功:确认两端部署模式,然后按步骤检查第一阶段配置可能存在的问题,建议直接查看系统日志,日志筛选“DLAN总部”,点击调试日志,具体看调试日志有什么报错,根据对应的提示,检查两端相应的配置,根据提示着重查下两端共享密钥是否正确,两端验证的身份类型ID是否配置有问题。 | 
发表于 2017-11-20 14:16
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2017-11-20 14:22
技术员3级 
