一、网络环境介绍在清江酒店的 USG 防火墙调试 IPSEC VPN 的时候发现官方的配置手册有些问题,所以详细整理下实施过程出现的问题与解决方法
网络情况简介:清江酒店总部设在,,等地有 10 个分支机构,只有总部可以确认为固定 IP,分支机构无法确认,有的固定,有的用 ADSL
本案例用 2 个分支介绍
了解了客户的基本网络状况后开始跟客户商量设计调试方案,选用 IPSEC 野蛮模式组网
在实施过程中发现以下问题:1、配置手册中 IPSEC VPN 配置实例不完善,NAT 部分没有写(要阻止 VPN 之间的数据访问做 NAT 转换),导致配置的时候不知道问题出在哪,在 NAT 中完善了转换策略后,问题解决
2、因为野蛮模式配置是用 ike local-name 进行验证的,初步在 IKE 协商参数配置中加入了 remote-name 这项,配置完成后 IPSEC VPN 建立成功,分支和总部用网 IP 可以直接访问,第二天总部防火墙重启了一次后 VPN 怎么都建立不起来,打 400 后发现在 IKE 协商参数配置中使用了 remote-name 出现问题,导致VPN 连接不上,去掉 remote-name 后问题解决
二、配置过程详细介绍下 面 详 细 介 绍 下 配 置 过 程 , 总 部 网 用 的 172
0/24 网 段 , 其 它 分 支 采 纳192
X/24 网段
防火墙的软件版本都是 V100R005
(一)总部配置1、 配置本地 IKE 本地用户名ike local-name qndc2、 配置 ACLacl number 3001 创建序号 3001 的高级访问控制列表rule 5 permit ip source 172
255 destination 192
255总部到
