#原创分享#深信服NGAF对接启明星辰ipsecVPN

      组网需求：两个分公司OA系统之间需要互访互通，其互联网出口分别使用的启明防火墙以及深信服NGAF。利用ipsecvpn通过互联网来加密传输，实现OA互访。

      前提条件：启明和深信服之间公网打通ipsecUDP500,4500等端口访问，访问控制的配置设置省略。

先配置启明VPN，首先匹配感兴趣流，两边需要加密的内网。

本端和对端保护协议选择any

IKE配置，第一阶段协商。

输入深信服对端IP，采用预共享密钥，和深信服保持一致。加密认证算法，DH，密钥周期和深信服一致，选择主模式。

第二阶段协商配置

选择实际出口，IKE绑定第一阶段，vpn规则就填第一步匹配的感兴趣流

然后配置深信服，首先选择VPN出接口

配置第一阶段，输入启明接口IP和共享密钥。

高级设置配置dh组，md5认证，3des加密

准备配置第二阶段协商，在这之前先配置安全选项，MD5认证，3des加密。

第二阶段协商入站规则，对应启明设备的本端保护子网，输入匹配的入站地址

第二阶段协商出站规则，对应启明设备那边的对端保护子网，如初匹配的出站IP。

配置完毕后，可以看到深信服隧道建立情况。

      到这里，两边的VPN都建立起来了，过程其实总结都一样。都是配置两个阶段的内容，个人觉得启明的配置稍微简洁一点，都集成到一起了，AF的配置比较分散，要到处引用。比如匹配感兴趣流，AF这边是需要配置出站和入站，其实做到一个界面也挺好呀。

您好，感谢您参与社区原创分享计划4，您的文章已被收录到计划中，交由专家评审小组评审，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:

感谢分享。

ipsecVPN的都要看看的。只对这个感觉兴趣。

感谢分享

感谢分享。

马一下，说不定会用到

感谢分享

学习了，感谢楼主无私的分享~~~