南京途天信息科技有限公司欢迎您!我们是天融信银牌,深信服金牌代理商
销售:025-86883033 18061463033
专业系统集成商
途天科技
025-86883033
涵盖产品销售及弱电施工;我们不仅仅是IT设备的搬运商!更是解决方案的提供商!一站式服务,为您提供全面可靠的解决方案
深信服VPN与华为AR101-S路由器IPsec对接
来源:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=140455
|
作者:njttian
|
发布时间: 1347天前
|
1120 次浏览
|
分享到:
|
总部配置:
VPN配置:
在深信服VPN设备上选择:第一阶段,相关配置如下:
注意:本端的配置与对端的配置一定要一样,否则会对接不成功。
第二阶段配置:
入站策略:为对端(分部)需要进入本端(总部)的网段,配置如下:
出站策略:出站IP为本端(总部)哪个网段需要访问对端(分部)的哪个网段,配置如下:
总部核心配置:
因为分部的网段访问总部网段时,核心没有相关路由,需进行添加静态路由,路由配置为:
分部网段-》下一跳指向VPN的IP即:
192.120.1.0 255.255.255.0192.168.7.2
至此分部已配置完成。
分部华为路由器配置:
在华为路由器界面的安全->ACL选项里添加高级ACL配置,如下:
填写本端网段(分部)与目地地网段(总部)
对Ipsec进行配置,配置如下(注意,本端配置一定要与总部配置所有参数保持一致):
ACL名称选取刚才配置的规则:
注意:在选择协商模式的时候两端一定要选择“野蛮模式”
以上配置完成后效果为:对端可以访问本端,本端也能访问对端。
注:如分部不能访问总部(IPsec对接的设备为路由部署的情况下),可能情况为由于分部访问总部时,由于路由器设置了NAT地址转换策略,故分部数据经过路由器时IP被转换为路由器的公网IP。这时需对路由器进行配置。ACL规则 配置思路如下:
先应拒绝192.120.1.0的网段去访问192.168.0.0的网段。强制让他走VPN隧道,然后再配置允许内网电脑访问其它网段(即互联网)。其中配置如下:
在华为路由器:安全->ACL->高级ACL,新建一条策略并配置两条规则 ,一条允许,一条拒绝,如下:
其中编号为10的规则不需填写目地IP与源IP,默认即可。动作为允许。
新建完成后,在IP业务->NAT内选择外网访问的ACL名称为刚才新建的ACL规则,如下:
|
