400-877-3227

4008773227

108636278

爱快在线支持

Online Support

爱快与深信服 ipsec实施案例

2018-06-27

一:深信服设置:

1、应用控制策略,添加允许策略,

R`KMG(XCNWSSI~6K74`@%JO.png 


2、网络---IPSECVPN---第三方对接

E(V1E8A6ILD7FRY`LGA@F`L.png

@)01~TIXJNCJJ_7)`H]20HK.png


 LKTSE_L5M7GWNJ(ITX35_8R.png

 

 

注意:

⑴设备地址类型:爱快方面是什么形式,就选择什么形式

⑵支持模式,选择“野蛮模式”,这样才有身份类型的验证,对应爱快设置里面的“标识”

⑶身份认证类型,要选择“域名字符串”,才能对应爱快的“标识”

ISAKMP存活时间,默认是3600S,修改整10800S,对应爱快里面默认的3小时;

⑸认证算法,加密算法,D-H群,要和爱快路由的IPSEC里面的设置要对应。

 

 

3、第二阶段

 WPI8VR]2IVTBW@O)F0OVV9Y.png

1_$PBK`S{SB(8~7D7MV}K$A.png

_71]T%AI%U__BWN9FMAJ5`D.png

 

 

 

 

 

注意:

⑴入站策略里面的IP与掩码,对应的是爱快里面的内网网段

⑵出站策略里面的IP与掩码,对应的是深信服本身的内网网段

⑶入站和出站策略里面都有个“对端设备”,这个要选择,第一阶段里面设置的对接爱快的名称

S8LFQY[LIAHIN$NH(DP8AJ5.png 

⑷安全选项:默认安全选项,这里面对应的是认证算法、加密算法和协议,可以在安全选项里面自定义。

⑸“启用秘钥完美向前保密(PFS”:不要勾选,爱快不支持。

`{B513M1QDV23T}7EB297T2.png 

 

 

4、排障

(6SHEXV0~L4L24MU[IEX)%P.png 

设置完成后,可以在系统---排障---系统故障日志里面查看对应日志,来查看问题

(默认没有显示,需要在“日志选项设置”里面选择)

 

5、状态查看

BFNOH}VRL((64L}NK}`U5HW.png 

网络---IPSECVPN---DLAN运行状态里面可以查看设置的IPSEC的连接状态,是连接还是断开

 

 

 

 

 

 

二:爱快路由对接配置 

T5`}V4W_3I@TQ2HIJB7[~8P.png

%~1HH`V}$TS6%ZZ7B[G]0CX.png

7H_TX9H_H6EW]6{USQEMY$N.png

 

注意:

⑴IKE版本:选择V1版本;

  IKE协商模式:积极模式,对应深信服里面的“野蛮模式”

IKE存活时间,默认是3小时,深信服默认是3600S,需要修改成一致;

IKE提议:第一个是加密算法,第二个是认证算法,第三个对应深信服的“D-H群”

⑷预共享秘钥:两端要对应

⑸本地标识和对端标识,对应 深信服野蛮模式下的身份类型的验证,

而且需要选择“域名字符串”,才能对应爱快的“标识”

ESP加密算法和认证算法,对应 深信服里面的安全选项设置,必须一致。

  (可以深信服设置好算法,爱快里面选择自协商)

⑺“允许压缩”:不要勾选。