?
一:深信服設置:
1、應用控制策略,添加允許策略,
?
?
2、網絡---IPSECVPN---第三方對接
![@)01~TIXJNCJJ_7)`H]20HK.png](/attached/php/upload/image/20180502/1525247717902091.png "1525247717902091.png")
?
?
?
?
注意:
⑴設備地址類型:愛快方面是什么形式,就選擇什么形式
⑵支持模式,選擇“野蠻模式”,這樣才有身份類型的驗證,對應愛快設置里面的“標識”
⑶身份認證類型,要選擇“域名字符串”,才能對應愛快的“標識”
⑷ISAKMP存活時間,默認是3600S,修改成10800S,對應愛快里面默認的3小時;
⑸認證算法,加密算法,D-H群,要和愛快路由的IPSEC里面的設置要對應。
?
?
3、第二階段
?![WPI8VR]2IVTBW@O)F0OVV9Y.png](/attached/php/upload/image/20180502/1525248007919968.png "1525248007919968.png")
![_71]T%AI%U__BWN9FMAJ5`D.png](/attached/php/upload/image/20180502/1525248623243530.png "1525248623243530.png")
?
?
?
?
?
注意:
⑴入站策略里面的IP與掩碼,對應的是愛快里面的內網網段
⑵出站策略里面的IP與掩碼,對應的是深信服本身的內網網段
⑶入站和出站策略里面都有個“對端設備”,這個要選擇,第一階段里面設置的對接愛快的名稱
?
⑷安全選項:默認安全選項,這里面對應的是認證算法、加密算法和協(xié)議,可以在安全選項里面自定義。
⑸“啟用秘鑰完美向前保密(PFS)”:不要勾選,愛快不支持。
?
?
?
4、排障
?
設置完成后,可以在系統(tǒng)---排障---系統(tǒng)故障日志里面查看對應日志,來查看問題
(默認沒有顯示,需要在“日志選項設置”里面選擇)
?
5、狀態(tài)查看
?
網絡---IPSECVPN---DLAN運行狀態(tài)里面可以查看設置的IPSEC的連接狀態(tài),是連接還是斷開
?
?
?
?
?
?
二:愛快路由對接配置?
?
?
注意:
⑴IKE版本:選擇V1版本;
??IKE協(xié)商模式:積極模式,對應深信服里面的“野蠻模式”
⑵IKE存活時間,默認是3小時,深信服默認是3600S,需要修改成一致;
⑶IKE提議:第一個是加密算法,第二個是認證算法,第三個對應深信服的“D-H群”
⑷預共享秘鑰:兩端要對應
⑸本地標識和對端標識,對應 深信服野蠻模式下的身份類型的驗證,
而且需要選擇“域名字符串”,才能對應愛快的“標識”
⑹ESP加密算法和認證算法,對應 深信服里面的安全選項設置,必須一致。
??(可以深信服設置好算法,愛快里面選擇自協(xié)商)
⑺“允許壓縮”:不要勾選。
?
