一、双方环境确认
确保一方VPN端口能被公网直接访问到
1.1 需要保证一方设备能直接被公网访问到
1.1.1 AF是接内网还是直连公网,直连公网出口是拨号还是固定IP,如拨号分配的地址是私有IP、此类地址是不能直接被公网访问到的;如两端都是拨号环境、分配的地址都是私网地址,两端设备都无法被公网直接访问到则不支持对接VPN
1.1.2 AF如接在内网,前端出口设备要做端口映射
1.2 确保网络环境下VPN部署模式正确
确认两端设备的网络环境包括:设备部署模式、我司版本信息、网络拓扑、出口是拨号还是固定IP地址、是否存在动态域名等。
1.2.1 两边vpn设备如果当中有nat环境的话,必须用野蛮模式,且需要在前置设备做好UDP 500和4500的端口映射。
1.2.2 如果两方都是固定ip,没有nat环境,那么可以野蛮模式也可以主动模式!
1.2.3 如果只有一方是adsl,没有nat环境, 若感兴趣数据流是从adsl发向固定ip内网的话,那么用野蛮或者主模式都可!若感兴趣数据流是从固定ip内网发向adsl内网的话,那么必须给adsl这端申请花生壳,保证,固定ip那端必须开启主动连接adsl这边的域名!
1.2.4 如果两方均是adsl的话,必须有一份部署花生壳的域名,保证一端可以通过域名去连接另一端vpn!
(ps:adsl从运营商获取的可能是运营商私网地址,这个时候相当于运营商有nat,那么就必须用野蛮模式对接)
二、检查VPN基础配置,保障VPN服务能正常启动
AF8.0.32级之前:
1、开启接口的与IPSEC VPN出口线路匹配,检查接口IP是否是一个网段,如果是,需要将对接的IP单独拿出来放在最上面
![]()
2、激活此线路
AF8.0.35级之后
1、配置IPSEC VPN线路
![]()
检查是否配置vpn内网口,未配置此项会导致vpn服务起不来
三、检查设备授权管理是否有分支机构数授权
