USG2110 和USG2130BSR对接由于sub地址导致ipsec隧道建立不起来

发布时间:  2012-07-18 浏览次数:  100 下载次数:  0
问题描述
USG2130BSR  - USG2110
IPSEC隧道之前可以建立,但是最近突然不能建立
检查两端ipsec参数都没发现问题
告警信息
处理过程
查看接口发现配置了sub地址
interface Ethernet0/0/0
 ip address 222.32.75.28 255.255.255.0
 ip address 222.32.75.29 255.255.255.0 sub
 undo ip fast-forwarding qff
 undo ip fast-forwarding output
 ipsec policy vpnlink auto-neg
 
 
interface Ethernet0/0/0
 ip address 222.32.72.122 255.255.255.0
 ip address 222.32.72.123 255.255.255.0 sub
 undo ip fast-forwarding qff
 undo ip fast-forwarding output
 ipsec policy vpnlink
 
因此建立ipsec隧道时,可能导致用sub地址去建立,而remote address里指的不是sub地址,所以隧道建立不成功。因此解决方法是配置本端地址,配置如下:
 
ike peer bfbg_dl     (USG2130端)
 exchange-mode aggressive
 pre-shared-key vpn2011
 ike-proposal 4
 remote-address 222.32.72.122
 local-address 222.32.75.28     (老版本在此处添加本端地址,如果此处不能添加,则在ipsec policy 里添加即可)
 nat traversal
 
ike peer bfbg_dl     (USG2110端)
 exchange-mode aggressive
 pre-shared-key vpn2011
 ike-proposal 4
 remote-address 222.32.75.28
local-address 222.32.72.122
 nat traversal
根因
建议与总结

END