您的位置:360文档中心› 山石网科Vpn基本配置与简单排错

山石网科Vpn基本配置与简单排错

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

盛年不重来,一日难再晨。及时宜自勉,岁月不待人。

Vpn基本配置与简单排错

前言

本手册来源于在山石学习期间做实验与工作时候遇到的问题总结,web配置以5.R4版本为主,其中内容层次不深,只希望对还在学习的同学有一点借鉴作用

此类文章是第一次书写,写的不周全的地方还请包含,如果中间有错误的地方请及时联系我

任鹏实习生

Hillstoneipsecvpn(web ui和cli)

Webui配置方法:

1.配置端到端的vpn第一步需要建立ipsecVPN隧道,如下图:

选择IPsec VPN 新建(俩边都是固定公网ip的情况下)

配置第一阶段对端的时候注意:

1.接口选择公网接口

2.模式模式可以任意选择,但是俩端模式必须相同

3.类型静态ip

4.对端地址对方公网地址

5.该环境下的vpn不需要填写本地id和对端的FQDN

6.提议任意填写,但是俩端必须相同

7.秘钥任意填写,但是俩端必须相同

一阶段完成,配置二阶段隧道

二阶段注意事项

1.二阶段提议俩端要相同

2.代理id 如果俩端都是我们山石的设备可以选择自动(juniper也可以)和别的厂家的vpn不能选择自动需要手动填写对端id和本地id (都是内网地址)3. 选择高级配置开启自动连接

配置完ipsecvpn隧道后将协议绑定到隧道中如下图:

创建隧道接口

隧道接口创建

隧道名称只能填1-8 建议写描述方便以后查看

安全域建议自定义一个vpn安全域方便与策略管理

隧道接口ip地址如果两端走静态路由访问可以不填ip地址

(对方有特殊要求除外)

如果俩端走动态路由的访问一定要填写ip地址,且隧道ip地

址要与对端隧道ip地址在同一网段

隧道绑定静态或者这个接口下只绑定一个vpn时不需要填写网关

动态或者绑定多接口的时候需要填写网关

完成以上配置后再添加路由和策略

在没有策略路由,源路由和源接口的路由情况下:

建立一条目的地址是对方私网的地址,下一条为tunnel隧道的路由如果有上述路由,请用优先级高的路由进行流量引流

策略放行根据个人设置的安全域进行放行

放行隧道接口安全域到内网安全域的策略再放行一条反向的策略

如果有特殊需求,可以自行更改

自此之上为web界面配置方法。配置完成后一般可以成功数据互访如果配置完发现无法访问,请看后面排错部分

Ipsecvpn命令行配置如下:

Vpn第一阶段配置

isakmp peer__name

interface ___公网接口

peer___ 对端公网地址

isakmp-proposal ___一阶段提议connection-type 连接关系

VPN第二阶段配置

Tunnetipsec名称auto

Isakmp-peer 调用第一阶段

ipsec-proposal二阶段提议

配置tunnel

Interface tunnel 名称

Zone vpn

Tunnel ipsecvpn名称

配置路由

ip router x.x.x.x/x tunnel接口名称

简单排错

数据不通是首先要看ipsecvpn隧道是否建立成功,如果没有成功就检查vpn的建立部分。如果vpn没问题就看策略和路由

webui界面看不到错误的时候,需要进入命令行查看

查看一阶段二阶段是否建立成功

以下为成功

SG-6000(config)# show isakmpsa

Total: 1

=============================================================================== =

Cookies Gateway Port Algorithms Lifetime --------------------------------------------------------------------------------

28266c15da~ 10.88.16.143 500 pre-share md5/des 86221

SG-6000(config)# show ipsecsa

Total: 1

S - Status, I - Inactive, A - Active;

=============================================================================== =

Id VPN Peer IP Port Algorithms SPI Life(s) S

--------------------------------------------------------------------------------

1 test >10.88.16.143 500 esp:des/md5/- 3e738e2c 28608 A 1 test <10.88.16.143 500 esp:des/md5/- 71f2e8f0 28608 A

如果是二阶段建立失败,查看下绑定关系

SG-6000(config)# show configuration | begin tunnel ipsec

Building configuration..

Running configuration:

tunnelipsec "test" auto

isakmp-peer "test"

ipsec-proposal "esp-md5-des-g2"

相关文档
最新文档