Vpn基本配置与简单排错
前言
本手册来源于在山石学习期间做实验与工作时候遇到的问题总结,web配置以5.R4版本为主,其中内容层次不深,只希望对还在学习的同学有一点借鉴作用
此类文章是第一次书写,写的不周全的地方还请包含,如果中间有错误的地方请及时联系我
任鹏
实习生
Hillstoneipcvpn(web ui和cli)
Webui配置方法:
1. 配置端到端的vpn第一步需要建立ipcVPN隧道,如下图:
选择IPc VPN 新建(俩边都是固定公网ip的情况下)
配置第一阶段对端的时候注意:
1. 海报的制作接口选择公网接口
2. 模式模式可以任意选择,但是俩端模式必须相同
3. 类型静态ip
4. 对端地址对方公网地址
5. 火影忍者q版该环境下的vpn不需要填写本地id和对端的FQDN
6. 提议任意填写,但是俩端必须相同
7. 秘钥任意填写,但是俩端必须相同
一阶段完成,配置二阶段隧道
二阶段注意事项
1. 二阶段提议俩端要相同
2. 代理id 如果俩端都是我们山石的设备可以选择自动(juniper也可以)
和别的厂家的vpn不能选择自动需要手动填写对端id和本地id (都是内网地址)
3. 古诗有哪些选择高级配置开启自动连接
配置完ipcvpn隧道后将协议绑定到隧道中如下图:
创建隧道接口
开卷
隧道接口创建
隧道名称养胃的蔬菜只能填1-8 建议写描述方便以后查看
安全域建议自定义一个vpn安全域方便与策略管理
隧道接口ip地址始一反焉如果两端走静态路由访问可以不填ip地址
(对方有特殊要求除外)
如果俩端走动态路由的访问一定要填写ip地址,且隧道ip地址要与对端隧道ip地址在同一网段
隧道绑定静态或者这个接口下只绑定一个vpn时不需要填写网关
动态或者绑定多接口的时候需要填写网关
完成以上配置后再添加路由和策略
在没有策略路由,源路由和源接口的路由情况下:
建立一条目的地址是对方私网的地址,下一条为tunnel隧道的路由
如果有上述路由,请用优先级高的路由进行流量引流
策略放行根据个人设置的安全域进行放行
放行隧道接口安全域到内网安全域的策略再放行一条反向的策略
如果有特殊需求,可以自行更改
自此之上为web界面配置方法。配置完成后一般可以成功数据互访
如果配置完发现无法访问,请看后面排错部分
Ipcvpn命令行配置如下:
Vpn第一阶段配置
isakmp peer__name
interface ___公网接口
peer___ 对端公网地址
封面设计图片isakmp-proposal ___一阶段提议
connection-type 连接关系
VPN第二阶段配置
Tunnetipc名称 auto
食用菌栽培
Isakmp-peer 调用第一阶段
ipc-proposal二阶段提议
配置tunnel
Interface tunnel 名称
Zone vpn
Tunnel ipcvpn名称
配置路由
ip router /x tunnel接口名称
简单排错
数据不通是首先要看ipcvpn隧道是否建立成功,如果没有成功就检查vpn的建立部分。如果vpn没问题就看策略和路由
webui界面看不到错误的时候,需要进入命令行查看
查看一阶段二阶段是否建立成功
以下为成功
SG-6000(config)# show isakmpsa
Total: 1
================================================================================
Cookies Gateway Port Algorithms Lifetime
--------------------------------------------------------------------------------
28266c15da~ 10.88.16.143 500 pre-share md5/des 86221
