一、网络环境介绍 在清江酒店的 USG 防火墙调试 IPSEC VPN 的时候发现官方的配置手册有些问题,所以详细整理下实施过程出现的问题及解决方法
网络情况简介:清江酒店总部设在武汉,宜昌,海口等地有 10 个分支机构,只有总部可以确认为固定 IP,分支机构无法确认,有的固定,有的用 ADSL
本案例用 2 个分支介绍
了解了客户的基本网络状况后开始跟客户商量设计调试方案,选用 IPSEC 野蛮模式组网
在实施过程中发现以下问题: 1、 配置手册中 IPSEC VPN 配置实例不完善,NAT 部分没有写(要阻止 VPN 之间的数据访问做 NAT 转换),导致配置的时候不知道问题出在哪,在 NAT 中完善了转换策略后,问题解决
2、 因为野蛮模式配置是用 ike local-name 进行验证的,初步在 IKE 协商参数配置中加入了 remote-name 这项,配置完成后 IPSEC VPN 建立成功,分支和总部用内网 IP 可以直接访问,第二天总部防火墙重启了一次后 VPN 怎么都建立不起来,打 400 后发现在 IKE 协商参数配置中使用了 remote-name 出现问题,导致 VPN连接不上,去掉 remote-name 后问题解决
二、配置过程详细介绍 下面详细介绍下配置过程,总部内网用的 172
0/24 网段,其它分支采用192
X/24 网段
防火墙的软件版本都是 V100R005
(一)总部配置 1、 配置本地 IKE 本地用户名 ike local-name qndc 2、 配置 ACL acl nu mber 3001 创建序号 3001 的高级访问控制列表 ru le 5 permit ip sou rce 172
255 destination 192
