关于这个ipsec,不管是sangfor VPN还是第三方对接都有一些槽点,不只是客户吐槽,有时候在客户现场我们都想说两句:*******
现在的ipsec建立必须要选择VPN内网口和关联ipsec链路才可以启用服务,而且VPN内网口一旦关联之后就不能取消!!!替换的话还得选择另一个口做VPN内网口。 不能取消,导致接口少的设备无法修改接口类型,必须使用路由口。 还有就是VPN不能选择逻辑接口,现在组网大部分下联都是trunk,而建立设备要求必选选择一个路由口!!!这个也就算了,我们可以通过选择manage口来做VPN内网口,更奇葩的是客户的网络地址使用的是10.0.0.0/8,完蛋!对方子网10.0.0.0/8和本端VPN内网冲突!!!冲突!!!冲突!!!-----------manage口管理地址不让改可以,但是为什么VPN非得选择一个内网接口,而且还是路由口?
还有就是关于这个VPN的模式,sangfor是基于策略的VPN,然而现在好多大集团组网的时候,分布的子网都是集团分的,起VPN时分部的子网包含在总部的子网中,导致VPN不能建立,虽然现在有办法暂时解决这个问题,但是协调400转研发这个时间还是很久的,而且修改完后设备不能升级,一升级就回到解放前啊,我们可以等,客户的业务不能等啊。---------------------------------建议VPN增加路由模式。
最重要的一个建议,关于VPN的日志能不能增加一个筛选的选项??????设备上已经有80多条第三方IPSEC对接了,然而有断掉的VPN查日志时那个痛苦啊,一堆日志,不能用对方IP筛选么?不能么?不能增加一个么? | 
发表于 2017-1-3 10:49
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级 
