一、总部网关的设置(USG5530):三线固定IP出口,基础配置略,关键是策略绑定的出口配置中不要启用NAT,做源NAT配置,同时让到分部内网的数据流排除在NAT之外,因为NAT与IPSEC ×××是冲突的。

1.定义被保护的数据流。

acl number 3004

 rule 5 permit ip source 192.168.113.0 0.0.0.255 destination 172.17.1.0 0.0.0.255 

 rule 10 permit ip source 172.16.9.0 0.0.0.255 destination 172.17.1.0 0.0.0.255 

2.配置序号为10的IKE安全提议

ike proposal 10

 encryption-algorithm aes-128 

 dh group2 

3.配置名称为hywl的IKE Peer

ike peer hywl

 pre-shared-key 999999

 ike-proposal 10

 remote-id-type none 

4.配置名称为hywl的IPSec安全提议。

ipsec proposal hywl

 esp authentication-algorithm sha1 

 esp encryption-algorithm aes-128  

5.配置名称为hywl序号为1的IPSec安全策略模板。

ipsec policy-template hywl 1

 security acl 3004

 ike-peer hywl

  proposal hywl

6.在IPSec安全策略hyjt中引用安全策略模板hywl,安全策略模板的名称不能与安全策略的名称相同。

ipsec policy hyjt 10 isakmp template hywl

7.在接口GigabitEthernet 0/0/1上应用安全策略hyjt。

interface GigabitEthernet0/0/1

ipsec policy hyjt 


二、分部网关的设置(USG6100):PPPOE拨号上网

待……


三、出现的问题及解决

  1. 分部能PPPOE拨号成功,但不能上网:默认路由指向有误,默认指向虚拟端口dialer0,但实际的拨号端口为dialer1,更换即可。

    ip router 0.0.0.0 0.0.0.0 dialer1

  2. ***第一阶段协商不成功:两端的IKE安全提议配置中加密算法或认证算法不一至、不匹配。

  3. ***连接建立之后,总部ping不通分部网关的内网口172.17.1.254:原因是不拨号虚拟端口上没有开启PING权限。

    interface Dialer 1  //进入拨号虚拟接口

    service-manage ping permit //开启PING


四、问题诊断分析方法

1.流量统计分析过程:首先开启从源端到目的端的长ping

acl 3999   //建立ACL

rule 5 permit ip source 源ip 0 destination 目的ip

 rule 10 permit ip source 目的ip 0 destination 源ip

diagnose  //进入诊断模式

firewall statistics acl 3999 enable  //关联ACL

display firewall statistics acl  //显示流量状态

undo firewell statistics acl 3999    //要记得关闭流量统计,以免消耗资源。

2.ACL命中分析:首先开启从源端到目的端的长ping

只有IPSec隧道未建立时,发起协商的报文会命中ACL,导致命中次数增长,而接受协商一端的ACL不会增长。当IPSec隧道建立成功后,匹配ACL的数据流不会导致ACL命中次数增长。

display acl 3010  //查看ACL

*******                 //省略

(14 times matched)       //显示出来的命中次数

 ACL的匹配次数增长了14次,说明本端的ACL配置与需保护的数据流一致,即本端ACL配置无误。