本帖最后由 Princeling 于 2020-1-25 21:02 编辑
最近客户买了天翼云,有些分支用了专线,有些小分支购买了天翼云的VPN虚拟网络,按照个数就行收费,因为之前该客户的多分支之间全部是靠深信服AF组件sangfor VPN来访问总部的超融合集群中的业务,因此此次天翼云对接深信服的AF帮助客户远程配置了一下,将此次操作的过程分享一下:和大家共同探讨学习。一:网络拓扑简介: 此次对接比较简单,主要目的是实现天翼云与企业内网的超融合个别业务可以通信,暂时只对接其中一个分支,拓扑如下:
二:具体配置 (1)天翼云一侧配置 因为客户此次采购的天翼云的虚拟网络,配置比较老,暂时只支持主模式对接,并且天翼云的ipsec vpn必须在配置完成后才会显示出本端的弹性公网IP,因此只能先配置天翼云配置,但是基本上按照深信服常用参数进行选择:
天翼云界面新增VPN配置:
建立新的连接,网络回默认使用天翼云的VPC私有网络:
第一阶段配置:第二阶段参数配置,按照深信服常用配置配置: (需要注意的是PFS的DH算法短发要与一阶段ike策略的算法一致)
只能用主模式,点击购买后,配置完成,可以在列表中看到配置的本端公网IP。
(2)深信服一侧配置 一阶段参数配置:
二阶段入站配置:
二阶段出站配置 PFS启用即可,深信服的PFS默认与DH算法匹配
查看连接日志:
查看状态:
三:排错分享 (1)问题1:刚开始客户截图说无法配置VPN,主要是出口防火前的多线路配置有问题: 因为对接的这个是客户的总部,之前的sangfor VPN是在SSL VPN上配置的,因此出口防火墙配置了双线路但实际 上没有应用过VPN功能, 远程客户解决: (1)确认WAN口属性以及与ipsec VPN多线路配置:
启用多线路:
然后既可以在ipsec VPN配置中选择线路,前提是要注意开启VPN服务:
问题(2)相应超时,数据包错误:因为是远程的客户,有些图不是很清晰:
解决方法: 正好在公司关于相应超时,顺手使用了公司新锐的无线控制器的udpconnect功能探测一下: 确认两端的UDP 4500 和500都是工作正常
因为之前的天翼云是客户配置的,这个报错也不愿意再去抓包分析了,于是和客户商量,删除天翼云的配置,重新按照第二章节的配置,配置了一遍,VPN就正常起来了。
解决后判定还是第一阶段协商时间的参数问题,使用深信服默认的参数即可。
好了,本次分享就到这里,欢迎大神指正!!! | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-1-26 11:11
发表于 2020-2-8 20:57
工程师1级 
