飞鱼星路由器与其他厂家产品ipsecvpn的互联配置-k8凯发天生赢家一触即发人生

 飞鱼星ipsecvpn功能基于标准ipsec协议，可以与市面上主流产品通过ipsecvpn进行互联。由于ipsec较复杂，故与其他产品连接时，设置上主要注意一些几点：
1、二个阶段的双方加密方式和认证方式的一致性，算法优先考虑3des-md5，注意某些品牌不支持pfs；
2、pfs是一个很重要的选项，有的平台默认支持，有的默认不支持；
3、pfs，dpd时间需要设置不同数值；
4、ike sa的生存时间保持一致，比如深信服默认的时间就与ve有差别；
5、第三方设备的防火墙的特殊设置，比如juniper；
6、ip压缩，相对来说是一个不太重要的选项，如果其他设置都正确，可以测试这个选项。

一、 hiper（艾泰）
在与艾泰平台互联时，我们平台除基本设置外，需要将高级设置中的 pfs项“取消勾选” 。
在艾泰平台设置上，没有必要去设置高级设置，设置方式为“自动”中的“网关到网关”，“安全选项”中“加密认证算法1”对应我们平台“ipsec数据加密和ipsec数据认证”，选择“esp-3des”或“esp-3des-md5”。
 
参考配置：

二、 h3c（华三）
在与华三平台互联时，我们平台只设置基本设置。
在华三平台设置上:
   1、ike安全提议为md5、3des、dh2 modp1024
   2、ipsec安全提议为esp、md5、3des，安全策略中协商类型选择ike协商，pfs选择dh2 modp1024
   3、还需要在高级设置的路由设置添加h3c对端子网选择对应的ipsec虚拟接口。

三、 sonicwall
在与sonicwall的对接时，重点注意将ike加密改为：3des、ike认证：md5，并且启用pfs项目。并且两端均启用ip压缩连接。其余可以保持设置一致。

四、 juniper
juniper 产品基本采用与飞鱼星相似的 ipsec设置方式，只是部分选项的名称的标注方式存在差异。在保持两端的 ike等信息正确配置的情况下，还需注意：
    1、juniper hello时间相当于dpd时间；reconnect时间相对于dpd超时。飞鱼星与juniper之间需要保持相同的值。
    2、因juniper设备的特殊性，必须配置相应防火墙规则，允许两端内网段互访，才能相互成功。
注意：juniper防火墙端的“position at top”选项必须勾选，否则会发生飞鱼星只能单方面ping通juniper。
参考配置：

五、其他
其他产品配置内容与飞鱼星配置类似，两端设置相互对应即可。
参考配置：

网件vpn防火墙与飞鱼星ve系列设备ipsec vpn互联配置