USG2110 和USG2130BSR对接由于sub地址原因 ipsec隧道建立不起来

发布时间:  2012-07-18 浏览次数:  101 下载次数:  0
问题描述
USG2130BSR  - USG2110
USG2130bsr和USG2110做IPSEC对接,检查两边参数配置的都没有问题,但是隧道建立不起来。
告警信息
处理过程
在ike peer里配置本端地址如下:

ike peer bfbg_dl     (USG2130端)
 exchange-mode aggressive
 pre-shared-key vpn2011
 ike-proposal 4
 remote-address 222.32.72.122
 local-address 222.32.75.28
 nat traversal
 


ike peer bfbg_dl     (USG2110端)
 exchange-mode aggressive
 pre-shared-key vpn2011
 ike-proposal 4
 remote-address 222.32.75.28
local-address 222.32.72.122
 nat traversal

 
根因
查看接口发现配置了sub地址
 
interface Ethernet0/0/0   (USG2130端)
 ip address 222.32.75.28 255.255.255.0
 ip address 222.32.75.29 255.255.255.0 sub
 undo ip fast-forwarding qff
 undo ip fast-forwarding output
 ipsec policy vpnlink auto-neg
 
 
interface Ethernet0/0/0     (USG2110端)
 ip address 222.32.72.122 255.255.255.0
 ip address 222.32.72.123 255.255.255.0 sub
 undo ip fast-forwarding qff
 undo ip fast-forwarding output
 ipsec policy vpnlink
 
因此在触发隧道建立的时候,可能导致用sub地址去建立,而remote address里指的不是sub地址,所以隧道建立不成功。因此解决方法是配置本端地址
建议与总结

老版本配置本端地址在ike peer里配置,新版本在ipsec policy里配置,这点需要注意。

END