《山石网科Vpn基本配置与简单排错.docx》由会员分享,可在线阅读,更多相关《山石网科Vpn基本配置与简单排错.docx(13页珍藏版)》请在第壹文秘上搜索。
1、Vpn基本配置与简洁排错本手册来源于在山石学习期间做试验与工作时候遇到的问题总结,web配置以5.R4版本为主,其中内容层次不深,只希望对还在学习的同学有一点借鉴作用此类文章是第一次书写,写的不周全的地方还请包含,假如中间有错误的地方请刚好联系我任鹏实习生Hillstoneipsecvpn(webui和di)Webui配置方法:1.配置端到端的VPn第一步须要建立ipsecVPN隧道,如下图:选择IPsecVPN新建(俩边都是固定公网ip的状况下)StoneOS向主页IPseCVPNVPN对端列表PI提议P2提议厚802.IX犍路负W三IKEVPN酉遗步骤1:对端基本配置、高级酉播对端名称:接
2、口:模式:testI(131)字符ethernetO/O一丫J主模式O野蛮模式I导入I类型:对端地址:粉态IPO动态IPO用户组上0.88.16.143工本地ID:无OFQDNOU-FQDNOASNl-DNuKEY-IDOIP对端ID:提议1:Z无UFQDNpsk-md5-des-g2YQU-FQDNOVASNl-DNuKEY-IDOIP侦共享密胡:(5127)字符步骤2:隧道配置第一阶段对端的时候留意:1 .接口选择公网接口2 .模式模式可以随意选择,但是俩端模式必需相同3 .类型静态ip4 .对端地址对方公网地址5 .该环境下的VPn不须要填写本地id和对端的FQDN6 .提议随意填写,但
3、是俩端必需相同7 .秘钥随意填写,但是俩端必需相同一阶段完成,配置二阶段隧道IKEVPN酉造步骤1:对选步骤2:隧道邮陷 %名称:test模式:tunneltransportp2 提议:esp-md5-desg2_代理ID:万询一/3i谆符确定取消IKEVPN酉播步骤1:对端U启用步骤2:隧道DNSl:WINSl:启用空闲时间:DF位:CopyOClearQSet防重放:关闭一3264u128。2560512该项只能在仓耀完成后再修改(0255)字符COmmitf立:使用代理ID:自动连接:隧道路由:描述:VPNft通监则:确定取消二阶段留意事项1 .二阶段提议俩端要相同2 .代理id假如俩端
4、都是我们山石的设备可以选择自动(juniper也可以)和别的厂家的VPn不能选择自动须要手动填写对端id和本地id(都是内网地址)3 .选择高级配置开启自动连接配置完ipsecvpn隧道后将协议绑定到隧道中如下图:创建隧道接口网络网络连接NAT路由IPsecVPNSSLVPNL2TPVPN用户识别802.IX钳路负载均衡trustL3untrttL3dmzL312-trustL212-untrustL212-dmzL2VPNHubL3HAL3新建IWEr安全域名称云月艮务碰云识别安全力策略攻击防护CmARPP护第1页,总0亲万建而删除搜索接口互殴Q脚空4f会话限制URL过滤网页关谜字WebH发
5、信息PPPOE接口隧道接口VirtualFOrWard接口回环接口焦素接口冗余接口以太子接口集聚子接口冗余子接口接口酉?置无绑定管理方式TelnetSSHQPingHTTPQHTTPSQSNMP路由逆向路由:匚启用WA喈能分流:启用O关闭自动接口配置常规,属性高级RIPTelnetSSHQPingCJHTTPQHTTPSSNMP路由逆向路由:启用关闭自动WA噌能分流:启用隧道绑定配置隧道类型:SSL VPNVPN名称:网关: IPSec VPN添加而删除 VPN名称口 testipsec隧道接口创建隧道名称只能填1-8建议写描述便利以后查看平安域建议自定义一个vpn平安域便利与策略管理隧道接口
6、ip地址假如两端走静态路由访问可以不填ip地址(对方有特别要求除外)假如俩端走动态路由的访问肯定要填写ip地址,且隧道ip地址要与对端隧道ip地址在同一网段隧道绑定静态或者这个接口下只绑定一个vpn时不须要填写网关动态或者绑定多接口的时候须要填写网关完成以上配置后再添加路由和策略目的路由酉匕置目的地:子网掩码:下一跳:接口:网关:优先权:路由权值:描述:确定取消在没有策略路由,源路由和源接口的路由状况下:建立一条目的地址是对方私网的地址,下一条为UInnel隧道的路由假如有上述路由,请用优先级高的路由进行流量引流当箱足下列条件时目&ahCVPnt到(Qstj三目的地址:AnyI多个到Any多个
7、脓务簿:时间表:AnyI多个多个应用薄:源用户:I多个多个做如下控制行为:允许拒绝Web认证只能工作在trust-vr。安全连接WEBiA证yIOCal策暄描述:(0255序符名称:(095)字符确定取消策略放行依据个人设置的平安域进行放行放行隧道接口平安域到内网平安域的策略再放行一条反向的策略假如有特别需求,可以自行更改自此之上为Web界面配置方法。配置完成后一般可以胜利数据互访假如配置完发觉无法访问,请看后面排错部分Ipsecvpn吩咐行配置如下:Vpn第一阶段配置isakmppeer_nameinterface公网接口peer_对端公网地址isakmp-proposal一阶段提议conn
8、ection-type连接关系VPN其次阶段配置Tunnetipsec名称autolsakmp-peer调用第一阶段ipsec-proposal二阶段提议配置tunnelInterfacetunnel名称ZonevpnTunnelipsecvpn名称配置路由iprouterxUInnel接口名称简洁排错数据不通是首先要看ipsecvpn隧道是否建立胜利,假如没有胜利就检查VPn的建立部分。假如vpn没问题就看策略和路由webui界面看不到错误的时候,须要进入吩咐行查看查看一阶段二阶段是否建立胜利以下为胜利SG-6000(config)#showisakmpsaTotal:1CookiesGat
9、ewayPortAlgorithmsLifetime28266cl5da10.88.16.143500pre-sharemd5des86221SG-6000(config)#showipsecsaTotal:1S-Status,I-Inactive,A-Active;IdVPNPeerIPPortAlgorithmsSPILife(s)S1test10,88.16.143500esp:des/md5/-3e738e2c28608A1test10.88.16.143500esp:des/md5/-71f2e8f028608A假如是二阶段建立失败,查看下绑定关系SG-6000(config)ffs
10、howconfigurationbegintunnelipsecBuildingconfiguration.Runningconfiguration:tunnelipsectestautoisakmp-peertestipsec-proposalesp-md5-des-g2auto-connecttrack-event-notifyenableexitinterfacetunnel3zonevpntunnelipsectestreverse-routepreferexit假如看这些还没有看出问题的话就debugvpn抓下数据包简洁的介绍下须要看vpn的哪些部分2016-01-1611:22:2
11、0,DEBUGVPN:10,88.16.143:phase1(mainmode):remotesupportsDPD2016-01-1611:22:20,DEBUGVPN:10.88.16.143:Compared:DB:Peer2016-01-1611:22:20,DEBUGVPN:10.88.16.143:(lifetime=86400:86400)2016-01-1611:22:20,DEBUGVPN:10.88.16.143:(lifebyte=0:0)2016-01-1611:22:20,DEBUGVPN:10.88.16.143:enctype=DES-CBCrDES-CBC201
12、6-01-1611:22:20,DEBUGVPN:10.88.16.143:(encklen=0:0)2016-01-1611:22:20,DEBUGVPN:10.88.16.143:hashtype=MD5:MD52016-01-1611:22:20,DEBUGVPN:10.88.16.143:authmethod=pre-sharedkey:pre-sharedkey2016-01-1611:22:20,DEBUGVPN:10.88.16.143:dh-group=1024-btMODPgroup:l024-bitMODPgroup2016-01-1611:22:20,DEBUGVPN:1
13、0.88.16.143:Anacceptableproposalfound2016-01-1611:22:20,DEBUGVPN:10.88.16.143:+Phase1mainmodefirstmsgreceiveEND.+2016-01-1611:22:20,DEBUGVPN:2016-01-1611:22:20,DEBUGVPN:2016-01-1611:22:20,DEBUGVPN:10.88.16.143:+Phase1mainmodefirstmsgsendSTART.+以上为一个正常的一阶段VPn协商包一个小部分,当出现错误的时候会报以下错误1. nosuitableproposalfoundPhase1(mainmode):failedtogetvalidproposal!第一阶段提议不匹配须要去检查提议2. HASHmismatched(野蛮模式)Invalidpayloadorfailedtomallocb