由于在SVN3000的策略模板配置security acl 导致ipsec业务不正常

发布时间:  2012-07-18 浏览次数:  92 下载次数:  0
问题描述
SVN3000(总部)与多个USG2100(分支)建立ipsec VPN,分支的设备都是PPPOE拨号上网的。配置完成后,在SVN上可以看到所有的隧道都正常建立,但只有1个隧道的内网客户互通,其余的分支都无法互通
告警信息
处理过程

1 检查ACL的配置,感兴趣流量配置的正确

2 接口快转也关闭了(usg2100  v1r5版本接口没有端口快转)

3 通过分别查看从SVN到分支的会话表发现,每个分支通过VPN上SVN的数据包,都被SVN全部回到其中一个分支里去了,导致其他VPN都不通。

4 在SVN的ipsec策略模板里面删除security acl,问题解决

根因

1. 用户的ACL配置不正确,也就是感兴趣流量配置问题。

2. 用户在内网接口未关闭端口快转

建议与总结
USG设备中有部分设备如USG3000SVN3000通过策略模板建议ipsec的时候,都是不能配置security acl的。

END