USG2200V3R1版本的IPSEC VPN的NAT穿越实验总结

发布时间:  2012-12-04 浏览次数:  116 下载次数:  0
问题描述

实验组网如上图,按照组网图连接配置后发现
防火墙之间都ping不通,而且IPsec VPN建立
也不成功;
告警信息
处理过程
对usg_a上配置到端口4所在网段和端口6所在网段的静态路由,默认网关为接口2;
对usg_b上配置到端口1和端口6所在网段的静态路由,默认网关为端口3和端口4;
对usg_c上配置到端口1和端口2所在网段的静态路由,默认网关为端口5的ip;
配置如下:
[USG_A] ip route-static 10.10.12.0 255.255.255.0 192.13.2.2
[USG_A] ip route-static 10.1.3.0 255.255.255.0 192.13.2.2 
[USG_B] ip route-static 10.1.1.0 255.255.255.0 131.108.3.2
[USG_B] ip route-static 10.1.3.0 255.255.255.0 10.10.12.2
[USG_C] ip route-static 10.1.1.0 255.255.255.0 10.10.12.1
[USG_C] ip route-static 192.13.2.0 255.255.255.0 10.10.12.1
对隧道封装模式则采用ESP封装因为AH对整个Ip都验证,NAT改变IP头地址;
[USG_A-ipsec-proposal-tran1] transform esp
根因
按经老师指导发现没有配置默认网关、到路由的路由、IPSEC的封装模式不对;
建议与总结

END