两个分支机构需要通过互联网传输相关数据,并且加密数据流。分支机构间出口分别部署了深信服AF以及H3C SecBlade防火墙模块,利用两台设备来建立IPsecVPN,记录下如何配置,H3C和深信服防火墙之间的访问控制策略配置省略。

先配置H3C SecBlade防火墙模块。
配置对等体,配置本端公网IP,对端IP,以及预共享密钥。

配置安全提议,MD5,3DES,DH2,和深信服那边配置一致

ACL配置,匹配出站和入站保护子网

IPSEC安全提议,封装模式tunnel MD5,3DES

配置ipsec策略,IKE对等体选刚才配置的,IPsec安全提议选刚才配置的,ACL选刚才配置的。

应用ipsec出接口

接下来配置深信服(配置的参数都保持和H3C这边一致,只是UI界面不一样而已)

首先选择VPN出接口

配置第一阶段,输入对端H3C接口IP和共享密钥。

高级设置配置dh组,md5认证,3des加密

准备配置第二阶段协商,在这之前先配置安全选项,MD5认证,3des加密

第二阶段协商入站规则,加入本端保护子网,输入匹配的入站地址

第二阶段协商出站规则,加入对端保护子网,输入匹配的出站IP。

配置完毕后,可以看到深信服隧道建立情况。

至此,完成深信服AF和H3C SecBlade防火墙模块IPSecVPN对接。

转载至 https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=92707