登录后即可下载附件和看图片
您需要 登录 才可以下载或查看,没有账号?立即注册
x
锦江之星某门店IPSecVPN对接测试案例
测试背景:锦江之星某店出口网关使用IPSec VPN与总部深信服设备进行对接。门店原有出口网关是深信服设备,现更换为我司EG产品。
拓扑图: 测试需求:将门店深信服设备更换为我司EG产品,内外网地址不变只更换出口网关,原有流控配置可根据门店需求适当进行调整。门店出口网关与总部深信服设备建立IPSec VPN隧道,使办公网能够通过隧道与总部进行通信。
测试内容:现场了解完需求后对我司EG产品进行内外网地址及流控等基础配置,并上架进行运行调试。
调试过程中确保两端认证加密策略一致的情况下发现IPSec VPN隧道协商未成功。
咨询之前做过对接的专家,专家告知深信服设备IPSec VPN第一阶段ISAKMP存活时间为3600秒,第二阶段SA存活时间为28800秒,且不与对端设备进行协商。在EG的web界中无法修改这两项存活时间,需在命令行下操作。 修改ISAKMP存活时间: 修改SA存活时间: 将两个阶段的存活时间修改和深信服匹配后出现以下状况: 查看VPN状态发现IPSec VPN第一阶段协商成功,第二阶段出现问题。检查第二阶段相关配置未发现任何问题,与锦江总部对了几遍,双方都确认配置无误,但是第二阶段的协商就是起不来。联系专家进行抓包分析,专家告知深信服设备在IPSec VPN 第二阶段协商的第二个报文中没有携带MD5认证字段,导致我们设备检查策略集不对,VPN协商不上第二阶段的隧道建立不起来。于是请专家给了一个补丁打上之后将这一阶段给协商通过了。 附: 1、由于我司设备代码严格按照RFC文档规范编写,所以我司设备与Cisco、华为、H3C等产品对接时不会出现此问题。与深信服设备对接时请注意对方软件版本是否为最新,若不是最新版建议联系深信服工程师在对端协助进行调试。 2、如遇隧道建立起来后部分地址通,部分地址不通问题可能和对端路由有关,遇到此问题建议联系对端检查路由设置。
| 
