解决USG5320和H3C F100-C配置IPSEC VPN对接问题

发布时间:  2014-09-12 浏览次数:  1257 下载次数:  84
问题描述

  某客户利用USG5320和友商H3C的F100-C配置对接IPSEC VPN,配置后在USG5320上可以看到IKE和IPSEC阶段已经建立起来,但在F100-C上看到IPSEC的第一、第二阶段都建立不成功。并且两端私网互相ping不通。

告警信息
处理过程
 首先检查两端的参数,发现F100-C这边ike阶段ike peer下面没有应用ike-proposal 1 命令,而ike peer 下并没有ike应用配置。联系H3C工程师,据说配置ike peer 后不必应用ike proposal 1命令。其他参数都协商一致了。

    再查看客户配置的ACL,发现客户习惯在所以ACL配置的最后应用一个deny any参数,而例如客户配置的ACL 3000是和其他设备配置的IPSEC感兴趣流,我司USG5320使用的是ACL 3002。但客户配置的ACL 3000最后一句就有 rule 2 deny ip 命令;配置这条命令后,后续的ACL匹配命中都会受影响,并且系统自带有隐形拒绝策略,所以可以不必配置该拒绝策略。

acl number 3000
 rule 0 permit ip source 192.168.3.0 0.0.0.15 destination 172.16.0.0 0.0.255.255
 rule 2 deny ip

                          
acl number 3002
 rule 1 permit ip source 192.168.3.0 0.0.0.15 destination 192.168.1.0 0.0.0.255
 rule 2 deny ip

 

  因为我司使用的是USG5320,所以不存在接口快速转发功能,而客户使用的F100-C接口下是有undo ip fast-forwarding inbound/oubound操作的。需要支持这两条命令。

修改客户的ACL及关闭端口快转后,客户两端的IPSEC VPN可以建立起来。策略两端内网ping -a 192.168.1.1 192.168.3.1 是可以正常通信了。

根因

1.首先怀疑客户两端两个阶段 ike 和ipsec的默认配置没有协商成功即两端ike/ipsec参数不一致。

2.ACL参数不一致造成阶段协商不起来。

3.端口快转问题影响协商。

建议与总结
客户详细配置命令,详见附件

END