一、网络环境介绍 在清江酒店的 USG 防火墙调试 IPSEC VPN 的时候发现官方的配置手册有些问题,所以详细整理下实施过程出现的问题及解决方法。 网络情况简介:清江酒店总部设在武汉,宜昌,海口等地有 10 个分支机构,只有总部可以确认为固定 IP,分支机构无法确认,有的固定,有的用 ADSL。本案例用 2 个分支介绍。 了解了客户的基本网络状况后开始跟客户商量设计调试方案,选用 IPSEC 野蛮模式组网。 在实施过程中发现以下问题: 1、 配置手册中 IPSEC VPN 配置实例不完善,NAT 部分没有写(要阻止 VPN 之间的数据访问做 NAT 转换),导致配置的时候不知道问题出在哪,在 NAT 中完善了转换策略后,问题解决。 2、 因为野蛮模式配置是用 ike local-name 进行验证的,初步在 IKE 协商参数配置中加入了 remote-name 这项,配置完成后 IPSEC VPN 建立成功,分支和总部用内网 IP 可以直接访问,第二天总部防火墙重启了一次后 VPN 怎么都建立不起来,打 400 后发现在 IKE 协商参数配置中使用了 remote-name 出现问题,导致 VPN连接不上,去掉 remote-name 后问题解决。 二、配置过程详细介绍 下面详细介绍下配置过程,总部内网用的 172.16.1.0/24 网段,其它分支采用192.168.X.X/24 网段。防火墙的软件版本都是 V100R005。 (一)总部配置 1、 配置本地 IKE 本地用户名 ike local-name qndc 2、 配置 ACL acl nu mber 3001 创建序号 3001 的高级访问控制列表 ru le 5 permit ip sou rce 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 总部到分支 1 的内网网段 VPN 触发策略 rule 10 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 总部到分支2 的内网网段VPN 触发策略 3、 配置 IKE 安全提议 ike proposal 10 创建名称为 10 的IKE 安全提议 authentication-algorithm md5 选择加密的算法为 md5 4、 配置 IKE PEER ike peer a 创建名称为 a 的IKE PEER exchange-mode aggressive 模式选择野蛮模式 pre-shared-key 123456 IKE 协商的密钥为 123456 ike-proposal 10 绑定 IKE 安全提议 undo version 2 选择 V1 的版本 local-id-type name 使用野蛮模式的IKE local-name 验证 nat traversal 打开 NAT 穿越 5、 创建 IPSEC 安全提议 ips...
