一、网络环境介绍在清江酒店的 USG 防火墙调试 IPSEC VPN 的时候发现官方的配置手册有些问题,所以详细整理下实施过程出现的问题与解决方法。网络情况简介:清江酒店总部设在,,等地有 10 个分支机构,只有总部可以确认为固定 IP,分支机构无法确认,有的固定,有的用 ADSL。本案例用 2 个分支介绍。了解了客户的基本网络状况后开始跟客户商量设计调试方案,选用 IPSEC 野蛮模式组网。在实施过程中发现以下问题:1、配置手册中 IPSEC VPN 配置实例不完善,NAT 部分没有写(要阻止 VPN 之间的数据访问做 NAT 转换),导致配置的时候不知道问题出在哪,在 NAT 中完善了转换策略后,问题解决。2、因为野蛮模式配置是用 ike local-name 进行验证的,初步在 IKE 协商参数配置中加入了 remote-name 这项,配置完成后 IPSEC VPN 建立成功,分支和总部用网 IP 可以直接访问,第二天总部防火墙重启了一次后 VPN 怎么都建立不起来,打 400 后发现在 IKE 协商参数配置中使用了 remote-name 出现问题,导致VPN 连接不上,去掉 remote-name 后问题解决。二、配置过程详细介绍下 面 详 细 介 绍 下 配 置 过 程 , 总 部 网 用 的 172.16.1.0/24 网 段 , 其 它 分 支 采 纳192.168.X.X/24 网段。防火墙的软件版本都是 V100R005。(一)总部配置1、 配置本地 IKE 本地用户名ike local-name qndc2、 配置 ACLacl number 3001 创建序号 3001 的高级访问控制列表rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255总部到分支 1 的网网段 VPN 触发策略rule 10 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255总部到分支 2 的网网段 VPN 触发策略3、 配置 IKE 安全提议ike proposal 10 创建名称为 10 的 IKE 安全提议authentication-algorithm md5 选择加密的算法为 md54、 配置 IKE PEERike peer a 创建名称为 a 的 IKE PEER exchange-mode aggressive 模式选择野蛮模式 pre-shared-key 123456 IKE 协商的密钥为 123456 ike-proposal 10 绑定 IKE 安全提议 undo version 2 选择 V1 的版本 local-id-type name 使用野蛮模式的 IKE local-name 验证 nat traversal 打开 NAT 穿越5、 创建 IPSEC 安全提议ipsec proposal tran1...
