(24) 切换到“身份验证”页签,配置如前述一致。即采用“预共享密钥”方式,输入密码,结果如下图所示。 图51 身份验证方法
(25) 切换到“隧道设置”页签,终点设置为XPWIN的IP:172.16.0.100。确保编辑后结果如下图所示。 图52 隧道设置
(26) 连接类型同样为“所有网络连接“,单击<应用>按钮,单击<确定>按钮。 (27) 回到“控制台1”,右键单击“IPSEC-XP-TO-ROUTER”,在弹出菜单中选择“指派”,如下图所示。 图53 指派策略
(28) 确保“策略已指派”栏的状态为“是”,最后结果如下图所示。
图54 查看策略指派
(29) 完成所有操作。单击“文件”菜单,另存“控制台1”到桌面为“ipsec”,以后可以双击查看属性。
4.1.4 测试
在WINXP PC上PING一下Router的LAN IP 192.168.0.1或局域网中任一台机器,前面4个报文协商通过之后,隧道建立,PING成功,表明配置成功。 图55 测试连接
5 常见问题解答(FAQ)
5.1 VPN隧道数据不通,如何处理
(1) 单击系统状态→系统诊断→诊断工具,从指定WAN接口ping隧道对端网关IP,确保出接口正常,路由可达。需要注意的是,对端是否已关闭防ping功能。
(2) 检查一下是否存在功能限制数据流,比如:是否存在IP/MAC绑定、接入控制、防火墙、QoS等规则阻止。
(3) 如果设备使用的是双WAN手动均衡模式,请参见双WAN手动均衡时的路由问题。
(4) 检查是否为隧道对端子网配置了静态路由,路由配置和安全策略上的子网配置是否与需要保护的数据流有逻辑性矛盾。
(5) 如果是手工方式设置安全策略,请仔细检查安全策略配置。算法密钥和SPI在两端应该互相对称,数据完全一致;如果是IKE方式设置安全策略,请查看是否存在与安全策略名称对应的安全联盟SA。如果存在相关SA,请查看双方SA是否对应一致,若不一致,建议关闭此隧道重新协商。
(6) 当IPSec出现状态混乱时,通过IPSec全局开关禁用然后重新启用IPSec功能。
5.2 若VPN组网中存在NAT设备,双方如何配置
IKE IPSec隧道两端之间如果有NAT网关设备存在,NAT对IP的修改会影响到与两端IP有关的IPSec配置。由于协议限制,目前需要支持这种NAT穿越的IPSec组网,双方应使用IKE野蛮模式name类型的ID,并且只能使用ESP安全协议,不能使用AH安全协议。
当NAT网关设备WAN侧网络路由器配置IKE对等体地址时,应配置对端地址为NAT设备WAN接口的IP地址;LAN侧路由器的配置与普通组网方式一样。另外,配置IKE SA周期和IPSec SA周期时,需要让LAN侧路由器的两个SA周期都小于WAN侧的路由器SA周期(推荐:LAN侧路由器SA周期为WAN侧路由器SA周期的一半,否则运行更新时可能会出现问题)。
5.3 双WAN手动均衡时的路由问题
在SMB Router使用双WAN手工均衡配置时,如果IPSec接口绑定在非默认链路接口,则需要为VPN对端网关地址添加静态路由或者均衡路由。