搜索
服务支持

服务支持

/
/
/
/
飞鱼星路由器与其他厂家产品IPSecVPN的互联配置

服务支持

全部分类

技术文库

飞鱼星路由器与其他厂家产品IPSecVPN的互联配置

  • 分类:技术文库
  • 作者:
  • 来源:
  • 发布时间:2019-06-06
  • 访问量:9

【概要描述】飞鱼星IPSecVPN功能基于标准IPSEC协议,可以与市面上主流产品通过IPSecVPN进行互联。由于IPSEC较复杂,故与其他产品连接时,设置上主要注意一些几点:1、二个阶段的双方加密方式和认证方式的一致性,算法优先考虑3DES-MD5,注意某些品牌不支持PFS;2、PFS是一个很重要的选项,有的平台默认支持,有的默认不支持;3、PFS,DPD时间需要设置不同数值;4、IKESA的生存时间保持

飞鱼星路由器与其他厂家产品IPSecVPN的互联配置

【概要描述】飞鱼星IPSecVPN功能基于标准IPSEC协议,可以与市面上主流产品通过IPSecVPN进行互联。由于IPSEC较复杂,故与其他产品连接时,设置上主要注意一些几点:1、二个阶段的双方加密方式和认证方式的一致性,算法优先考虑3DES-MD5,注意某些品牌不支持PFS;2、PFS是一个很重要的选项,有的平台默认支持,有的默认不支持;3、PFS,DPD时间需要设置不同数值;4、IKESA的生存时间保持

  • 分类:技术文库
  • 作者:
  • 来源:
  • 发布时间:2019-06-06 10:47
  • 访问量:9
详情

 飞鱼星IPSecVPN功能基于标准IPSEC协议,可以与市面上主流产品通过IPSecVPN进行互联。由于IPSEC较复杂,故与其他产品连接时,设置上主要注意一些几点:
1、二个阶段的双方加密方式和认证方式的一致性,算法优先考虑3DES-MD5,注意某些品牌不支持PFS;
2、PFS是一个很重要的选项,有的平台默认支持,有的默认不支持;
3、PFS,DPD时间需要设置不同数值;
4、IKE SA的生存时间保持一致,比如深信服默认的时间就与VE有差别;
5、第三方设备的防火墙的特殊设置,比如juniper;
6、IP压缩,相对来说是一个不太重要的选项,如果其他设置都正确,可以测试这个选项。

一、 HIPER(艾泰)
在与艾泰平台互联时,我们平台除基本设置外,需要将高级设置中的 PFS项“取消勾选” 。
在艾泰平台设置上,没有必要去设置高级设置,设置方式为“自动”中的“网关到网关”,“安全选项”中“加密认证算法1”对应我们平台“IPSec数据加密和IPSec数据认证”,选择“esp-3des”或“esp-3des-md5”。
 
参考配置:

飞鱼星VE1260与艾泰811 IPSEC VPN互联  

 

 

  

二、 H3C(华三)
在与华三平台互联时,我们平台只设置基本设置。
在华三平台设置上:
   1、IKE安全提议为MD5、3DES、DH2 modp1024
   2、IPSEC安全提议为ESP、MD5、3DES,安全策略中协商类型选择IKE协商,PFS选择DH2 modp1024
   3、还需要在高级设置的路由设置添加H3C对端子网选择对应的ipsec虚拟接口。

三、 SONICWALL
在与sonicwall的对接时,重点注意将IKE加密改为:3DES、IKE认证:MD5,并且启用PFS项目。并且两端均启用IP压缩连接。其余可以保持设置一致。

四、 Juniper
Juniper 产品基本采用与飞鱼星相似的 IPSEC设置方式,只是部分选项的名称的标注方式存在差异。在保持两端的 IKE等信息正确配置的情况下,还需注意:
    1、Juniper hello时间相当于DPD时间;Reconnect时间相对于DPD超时。飞鱼星与Juniper之间需要保持相同的值。
    2、因Juniper设备的特殊性,必须配置相应防火墙规则,允许两端内网段互访,才能相互成功。
注意:Juniper防火墙端的“Position at TOP”选项必须勾选,否则会发生飞鱼星只能单方面ping通Juniper。
参考配置:

Juniper VPN防火墙与飞鱼星VE系列产品IPSec VPN互联 

 

 

五、其他
其他产品配置内容与飞鱼星配置类似,两端设置相互对应即可。
参考配置:

网件VPN防火墙与飞鱼星VE系列设备IPsec vpn互联配置

 

 

 

AboCom MH1500与飞鱼星VE系列产品IPSec VPN互联

扫二维码用手机看

版权所有©成都飞鱼星科技股份有限公司  蜀ICP备05006150号