AF的IPSEC吐槽

关于这个ipsec，不管是sangfor VPN还是第三方对接都有一些槽点，不只是客户吐槽，有时候在客户现场我们都想说两句：*******

    现在的ipsec建立必须要选择VPN内网口和关联ipsec链路才可以启用服务，而且VPN内网口一旦关联之后就不能取消！！！替换的话还得选择另一个口做VPN内网口。

    不能取消，导致接口少的设备无法修改接口类型，必须使用路由口。

    还有就是VPN不能选择逻辑接口，现在组网大部分下联都是trunk，而建立设备要求必选选择一个路由口！！！这个也就算了，我们可以通过选择manage口来做VPN内网口，更奇葩的是客户的网络地址使用的是10.0.0.0/8，完蛋！对方子网10.0.0.0/8和本端VPN内网冲突！！！冲突！！！冲突！！！-----------manage口管理地址不让改可以，但是为什么VPN非得选择一个内网接口，而且还是路由口？

    还有就是关于这个VPN的模式，sangfor是基于策略的VPN，然而现在好多大集团组网的时候，分布的子网都是集团分的，起VPN时分部的子网包含在总部的子网中，导致VPN不能建立，虽然现在有办法暂时解决这个问题，但是协调400转研发这个时间还是很久的，而且修改完后设备不能升级，一升级就回到解放前啊，我们可以等，客户的业务不能等啊。---------------------------------建议VPN增加路由模式。

    最重要的一个建议，关于VPN的日志能不能增加一个筛选的选项？？？？？？设备上已经有80多条第三方IPSEC对接了，然而有断掉的VPN查日志时那个痛苦啊，一堆日志，不能用对方IP筛选么？不能么？不能增加一个么？

我有同感，想必很多小伙伴都遇到过类似问题。希望某公司的技术同仁详细了解下小伙伴的应用场景，做专业的防火墙。在2017年共筑不朽征程。

同感

遇过类似的情况

AF 6.8 版本已经解决这些问题了， 没有绑定接口这些要求了， 发布半年多了。你的AF版本是什么？

同感同感。。。

我记得我第一次搞vpn就碰到过客户的子网是10.0.0.0/8，当时心里想这客户真尼玛牛逼

确实还需要绑定网口， 采纳， 需要修改！

可以看看AF7.3是否满足大家的需求

学习学习