场景:前两天在一个网络改造项目中进行IPSec对接,客户在各地有分公司,总部与分公司通过IPSecVPN互联。
环境:总部固定IP,NGAF 7.4 (DLAN 5.x)。分公司ADSL拨号,分别是MIG(Dlan4.x)和Cisco RV082小路由器。
使用MIG的的分公司直接与总部对接Sangfor VPN就可以了,DLAN 5.x可以兼容4.x,培训资料上都有,就不多说了,介绍一下与Cisco 小路由器对接。
第一阶段: 由于分公司是PPPoE动态地址,所以选择野蛮模式,身份鉴别采用FQDN,名字随缘,两边一致就好(身份类型与对方身份类型一致,都是FQDN或都是USER_FQDN)。加密算法采用常用的3DES、哈希用MD5。由于部分支设备在NAT后需要勾选NAT-T。(DPD后来我去掉了,稍后再说这点)
第二阶段: 分别出站和入站
cisco方配置:
最终效果:
测试下来还算稳定。
关于上面提到的DPD,后来给关掉了,原因启用DPD后约30秒后(5次,每次5秒)总是DPD超时断开VPN。后来抓包排查下来由于DPD包我方发送了对端没有响应。这就涉及到兼容性问题了,怀疑点之一是ike版本,深信服目前只支持v1,其他产品支持v1、v2。 再者是Cisco小路由器没法抓包或debug分析,DPD的就一个勾,给排查来带来局限性。后来就没有启用这个功能。有谁对这款RV082产品有深入了解的,欢迎分享指正。
最后总结一下经验: 1.SangforVPN对接要留意DLAN版本,大版本直接可以对接,如2.x和2.x,4.x和4.x,但最新的5.x可以向下兼容4.x; 2.如果两端都是Sangfor设备,由于DLAN版本问题无法对接,可以用标准的IPSec对接; 3.排错多看两段的系统日志,包括调试日志; 4.如果隧道建立起来却不能访问,检查防火墙策略、路由、NAT排除、NAT-T、两端的子网网段(有的也叫感兴趣流、Proxy-ID)。 | 
发表于 2017-12-7 15:15
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
