IPSec隧道建立后无法互访特殊情况

发布时间:  2012-08-27 浏览次数:  205 下载次数:  2
问题描述
1.分支采用USG2130拨号访问外网,总部采用路由器作为出口设备拨号上网,内网挂SVN3000作为总部IPSec VPN网关;
2.完成分支USG2130及总部SVN30002台设备IPSec相关配置后,IPSec VPN隧道可以正常建立,但是互访不正常,在分支USG2130上ping总部SVN3000不通;
告警信息
处理过程
处理过程:
1.远程分别接入分支USG2130及总部SVN3000,检查相关配置情况,发现总部配置的是模板模式的IPSec,并且总部SVN3000的配置了如下信息;
     #
ipsec policy-template guanli 1
security acl 3001
     ike-peer xinhuaqu
proposal 21
#
2.在ipsec policy-template guanli 1进程下通过命令undo security acl 3001,然后分别在分支USG2130与总部SVN3000上手动清除ipsec sa及ike sa后,重新在分支USG2130上ping总部SVN3000内网地址就正常了,问题解决
根因
建议与总结
如果组网拓扑是总部与多分支结构,总部设备需要配置为模板模式,如果总部配置为模板模式的设备是SVN3000或者是USG3000的设备话,在ipsec policy-template xxxx 1进程下就不能配置security acl xxxx这条命令,如果配置了会导致设备在进行IPSec数据包转发过程中出现问题,从而导致访问失败,这个是由于USG3000及SVN3000产品特性所决定的。

END