USG6320点到多点IPSEC vpn建立成功后无法通信问题

发布时间:  2014-11-27 浏览次数:  981 下载次数:  9
问题描述
usg6320配置完成后,点到多点IPsec vpn协商成功,但ping分支机构无法通信
点到点IPsec vpn测试正常,点到多点部署时出现问题.
告警信息
处理过程
观察IPsec vpn状态,协商成功
出口防火墙上查看策略,数据流放行正常。同时ping对端公网地址,延时正常(30ms)
检查各分支节点的IPsec vpn加密数据流,发现有部分地址范围重叠,修改细化各分支机构加密数据流,问题解决。
根因
总部与分支机构之间的加密数据流有重叠部分,导致路由混乱,无法通信。
解决方案
细化每一个分支机构的加密流量。
修改命令如下:
acl number 3000
rule 5 permit ip source 192.168.4.254 0 destination 172.0.0.0 0.255.255.255
rule 10 permit ip source 192.168.4.254 0 destination 10.10.7.112 0

ipsec policy ipsec1481436365 1 isakmp
security acl 3000
建议与总结
设备调试过程中,要注意实施细节,即使单局点测试成功,但多局点同步实施时,依旧可能互相之间产生部分影响,导致部分网络问题,实施过程中应细化加密数据,保证各局点路由正常,才能提高实施效率。

END