深信服设备提供了与第三方VPN设备互联的功能，能与第三方的VPN设备建立标准IPSec VPN连接。管理员需要先把第一阶段的信息配置好才能进行第二阶段的配置，不能直接配置第二阶段。

第一阶段

第一阶段用于设置需要与深信服设备建立标准IPSec连接的对端VPN设备的相关信息。

点击<新增>，显示设备列表设置对话框，需要设置设备名称和描述.

线路出口：选择通过哪条出口线路与对端进行标准IPSEC VPN 互联。

设备地址类型：包括固定IP、动态IP以及动态域名三种。

• 选择“对端是固定IP”，则需要设置对端的固定IP地址以及预共享密钥；

• 选择“对端是动态域名”，则需要设置动态域名以及预共享密钥；

• 选择“对端是动态IP”，则仅需设置预共享密钥，选择该选项后仅能使用野蛮模式对接；

作为备份设备：同一个设备支持备份隧道，如果有建立主备隧道，主隧道断开，数据包才会通过备份隧道发往对端。

如果配置时，误勾选了启动主动连接，设备会弹出提示框。

点击<高级>，则弹出高级设置对话框，界面如下。

ISAKMP存活时间：用来设置第一阶段策略的生存期，只支持按秒计时。

重试次数：用来设置第一阶段协商时的重试次数。

支持模式：用来选择第一阶段协商所使用的模式，包括主模式和野蛮模式。

D-H群：用来设置协商双方的Differ-Hellman群，包括MODP768群（1）、MODP1024群（2）、MODP1536群（5）、MODP2048群（14）、MODP3072群（15）、MODP4096群（16）、MODP6144群（17）、MODP8192群（18）。

勾选<启用DPD>，启用死亡对等体检测功能，用于帮助VPN设备检测存在于隧道另一端的设备故障。

检测间隔：用于设置检测对端状态的时间间隔，设置范围5s-60s。

超时次数：用于设置检测到对端状态超时次数，设置范围1-6次。当达到超时次数，设备认为对端设备故障。

ISAKMP算法列表。

认证算法：用来选择第一阶段的认证算法，包括MD5、SHA-1、SHA2-256、SHA2-384、SHA2-512。

加密算法： 用来选择第一阶段的加密算法，包括DES、3DES、AES、SANGFOR_DES、AES192、AES256。

勾选启用选项，则此策略设置完成后立即生效。点击<确定>后保存并启用规则。

：

第二阶段

第二阶段主要配置VPN的[入站策略]和[出站策略]，如下图。

管理员需要对入站策略和出战策略配置所用到的一样的参数进行统一说明。

表23出战策略和入站策略相关操作说明表

操作	功能说明
策略名称	可自定以策略名称
描述	简单描述该策略的作用
源IP类型	可选择单个IP或者子网+掩码
源IP地址	用来设置允许VPN对端访问本端的IP地址或IP地址段。
对端设备	用来选择对端设备，该设备在第一阶段中进行定义。
过期时间	可以设置该策略的过期时间，到了指定的时间则此策略失效。
启用策略	启用该策略，如果对端设备设置了PFS，则需同时勾上[启用密钥完美向前保密]。

其中入站策略和出战策略不同参数的说明：

入站策略

入站服务：用来选择允许的入站服务，可选择包括：TCP、UDP、ICMP和所有服务。服务需要在[VPN配置/高级设置/内网服务设置]里预先定义好。

出战策略

SA生存时间：用来定义第二阶段策略的生存期时间，只支持按秒计时。

出站服务：用来选择允许的出站服务。服务需要在[VPN配置/高级设置/内网服务设置]里预先定义好。

安全选项：用来选择双方协商时的安全策略，在[安全选项]标签页中进行配置。

：

安全选项

安全选项用于设置与对端建立标准的IPSec连接时所使用的安全参数。管理员可进行新增、删除、编辑安全选项操作，且所有操作都需要确定才会生效。

在建立与第三方设备的IPSec连接前，请先确定对端设备采用何种连接策略。

管理员点击<新增>安全选项需要填写名称、类型、协议类型有AH和ESP可选。

认证算法（Null或MD5或SHA-1或SHA2-256或SHA2-384或SHA2-512）

加密算法（DES、3DES、AES、SANGFOR_DES、AES192、AES256）

深信服VPN网关会使用设置好的连接策略与对端协商建立IPSec连接。

安全选项中的[加密算法]用于设置标准IPSec连接的第二阶段所使用的数据加密算法，如果要与多个采用不同连接策略的设备互联，需要分别将各个设备使用的连接策略添加到安全选项中。

：