本帖最后由 桑威_张镇彬 于 2021-6-21 09:08 编辑
这个项目的远程售后是我操作的,也是第一次排查与搭建VPN相关的配置,排查了一个多小时才把VPN搭建起来,记一下排错心得。
背景就是客户一台AF做出口,在AF的VPN模块上配置与对端的第三方设备对接建立VPN。 两边都是固定公网IP。
①接口检查: 接口检查是否勾选WAN口属性,是否勾选IPSEC VPN出口线路匹配,选择线路要与后面的第一阶段的线路出口一致:
②检查VPN服务是否开启:
③第一阶段检查: 1、线路出口检查选择的线路是否为跟需要建立VPN连接的出接口配置的线路一致; 2、选择“对端是固定IP”时,检查对端固定IP是否填写正确; 3、域共享密钥是否填写正确; 4、勾选启用设备,勾选主动连接;
高级选项检查: 1、ISAKMP存活时间检查与对端是否一致; 2、支持模式的“主模式”和“野蛮模式”选择是否与对端一致; 3、D-H群选择是否与对端一致; 4、开启DPD(对端死亡监测); 5、ISAKMP的加密算法是否与对端的一致;
④第二阶段检查 入站检查: 1、源IP填写是否正确(此处为对端的内网地址段);对端设备选择和入站服务; 2、启用该策略;
出站查询: 1、检查源IP填写是否正确(此处填写的是本端的内网网段地址); 2、检查对端设备选择是否正确; 3、安全联盟SA的生存时间与对端是否一致; 4、出站的服务选择是否正确; 5、安全选项是否正确(如果选择的是默认安全选项则需要在后面的安全选项卡中查看使用的认证加密算法); 6、勾选启用该策略;检查对端是否启用PFS;
安全选项查看默认安全选项使用的认证和加密算法:
客户对端的部分配置如图: PFS和DH群:
域共享密钥认证和IKE版本: 第一阶段加密认证算法、ISAKMP的生存时间:
系统故障日志排查: 日志显示对应,“ISAKMP_MAJOR_VERSION”即第一阶段IKE的版本不一致,无法对应匹配。 ps: 在标准版本AF8.0.23之前,AF的第三方对接仅支持IKEv1; 从标准版本AF8.0.23开始,AF的第三方对接支持IKEv1和IKEv2;
一般如果出口有拨号环境,或者有NAT环境的话,建议用野蛮模式对接; 没有的话,建议更改为主模式对接且两边配置也要一致; | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-3-5 16:10
技术员1级 
