IPSEC VPN配置介绍;(建议两端设备最好使用相同的系统版本两端配置一致即可)
配置思路:1. 对象-->用户—>新建VPN登陆用户名密码
2.新建Ipsec VPN安全域
3.新建隧道接口配置IP地址(用作VPN连接时的网关)并绑定到SSLVPN安全域中(VPN需规划独立网段)
4.域间策略 双向放行 SSLVPN<--->TRUST
6.VPN配置两端需配置相同,自动连接和对端检测勾选
7.创建好的VPN绑定到隧道接口
8.添加目的路由 目的地址填写对端授权内网网段 出接口填写隧道接口
注意事项:同一厂家设备ID选择自动,不同厂家需要手动填写自己和对端的ID
1.新建IPSECVPN安全域并且绑定新建的隧道接口
2.新建VPN地址池
3.配置VPN对端
3.策略放行(vpn<—>trust双向放行即可)
4.添加静态路由
查看建立过程
常用查看命令;
Show ipsec sa
Debug dp filter dst-ip 192.168.5.1 对端网段
Debug dp drop
Debug dp hasic
Debug dp sn
Debug dp snoop
Show logging debug
Debug dp basic/error/drop 开户DEBUG功能
Undebug all 关闭debug功能
- 隧道接口是否需要配置地址(可配可不配)
隧道接口IP地址如果两端走静态路由访问时可以不填IP地址
如果两端走动态路由访问时一定要填写IP地址,并且两端隧道IP需要在同一网段 - 不同厂家设备之间建立IPSECVPN 只需要在高级设置中开启代理ID就可以么
(如果两端都是山实品牌的设备选择自动即可,若和别的厂家的VPN不能选择自动时需要手动写对端ID和本地ID 并且在高级设置中 使用代理ID选项勾选)
隧道绑定静态或者这个接口下的VPN时不需要填写网关,动态或者绑定多个接口时需要填写网关 - 策略放行 ipsec vpn<—>trust双向放行就可以
- 目的静态路由只需要写 对端的内网地址 出接口写隧道接口
- 只有Inactive 、 Active/Active两个状态算是建立成功
Active/Active两个状态算是建立成功