隧道接口创建
隧道名称只能填1-8 建议写描述方便以后查看
安全域建议自定义一个vpn安全域方便与策略管理
隧道接口ip地址如果两端走静态路由访问可以不填ip地址
(对方有特殊要求除外)
如果俩端走动态路由的访问一定要填写ip地址,且隧道ip地址要与对端隧道ip地址在同一网段
隧道绑定静态或者这个接口下只绑定一个vpn时不需要填写网关 动态或者绑定多接口的时候需要填写网关
完成以上配置后再添加路由和策略
在没有策略路由,源路由和源接口的路由情况下:
建立一条目的地址是对方私网的地址,下一条为tunnel隧道的路由 如果有上述路由,请用优先级高的路由进行流量引流
策略放行根据个人设置的安全域进行放行
放行隧道接口安全域到内网安全域的策略再放行一条反向的策略 如果有特殊需求,可以自行更改
自此之上为web界面配置方法。配置完成后一般可以成功数据互访 如果配置完发现无法访问,请看后面排错部分
Ipsecvpn命令行配置如下:
Vpn第一阶段配置 isakmp peer__name interface ___公网接口 peer___ 对端公网地址
isakmp-proposal ___一阶段提议 connection-type 连接关系
VPN第二阶段配置 Tunnetipsec名称 auto
Isakmp-peer 调用第一阶段 ipsec-proposal二阶段提议
配置tunnel
Interface tunnel 名称 Zone vpn
Tunnel ipsecvpn名称
配置路由
ip router x.x.x.x/x tunnel接口名称
简单排错
数据不通是首先要看ipsecvpn隧道是否建立成功,如果没有成功就检查vpn的建立部分。如果vpn没问题就看策略和路由
webui界面看不到错误的时候,需要进入命令行查看
查看一阶段二阶段是否建立成功
以下为成功
SG-6000(config)# show isakmpsa Total: 1
================================================================================
Cookies Gateway Port Algorithms Lifetime --------------------------------------------------------------------------------
28266c15da~ 10.88.16.143 500 pre-share md5/des 86221
SG-6000(config)# show ipsecsa Total: 1
S - Status, I - Inactive, A - Active;
================================================================================
Id VPN Peer IP Port Algorithms SPI Life(s) S --------------------------------------------------------------------------------
1 test >10.88.16.143 500 esp:des/md5/- 3e738e2c 28608 A 1 test <10.88.16.143 500 esp:des/md5/- 71f2e8f0 28608 A
如果是二阶段建立失败,查看下绑定关系
SG-6000(config)# show configuration | begin tunnel ipsec
Building configuration.. Running configuration: tunnelipsec \isakmp-peer \
ipsec-proposal \