配置需求

某客户网络拓扑如下图所示，SSL VPN网关旁挂部署在VPN网关后面。公司员工user1出差时，希望通过SSL VPN接入访问公司内网的OA。

网络需求

某企业用户在全国各地建立多个分支机构，总部网络使用静态IP地址，部分分支使用的是ADSL拨号动态获取IP，要求各分支与中心建立IPSec隧道形成一个大的虚拟局域网实现数据互访。此配置案例主要指导如何使用静态IP与动态IP之间建立IPSec隧道。

网络拓扑

配置思路

根据案例需求，需要将中心端配置为客户端模式(接受任意地址发起隧道协商)，各分支配置为网关模式(主动向中心发起隧道协商)。

(1)配置网络基本环境。

(2)配置VPN网关的保护规则

(3)配置中心VPN网关的IKE配置，类型选择客户端模式，认证方式，隧道模式，以及算法。

配置分支VPN网关的IKE配置，类型选择网关模式，认证方式，隧道模式，以及算法。

(4)配置中心VPN网关的客户端隧道配置，确定本地出口。

配置分支VPN网关的网关隧道配置，确定本地出口。

(5)隧道监控—启动隧道

详细配置

(1)配置网络基础环境(省略)

(2)配置中心VPN网关IPSec规则

①进入中心VPN网关【IPSecVPN】-【隧道配置】-【VPN规则】-添加，设置本地保护子网为x.x.x.x/x，对端保护子网为0.0.0.0/0

分支保护规则与中心配置类似，本地保护子网为x.x.x.x/x，对端保护子网为x.x.x.x/x

(2)配置中心VPN网关IKE配置

进入【IPSecVPN】-【隧道配置】-【IKE配置】-新建

分支IKE配置为网关模式即可。

(3)配置中心VPN网关客户端隧道配置

进入【IPSecVPN】-【隧道配置】-【客户端隧道配置】-添加

注：取消完美前向保密。

分支配置为网关模式。

进入【IPSecVPN】-【隧道配置】-【网关隧道配置】-添加

(5)隧道监控—启动隧道

进入中心【IPSecVPN】-【隧道监控】-【客户端隧道】-启动

进入分支【IPSecVPN】-【隧道监控】-【网关隧道】-启动

1. 控制中心连接引擎的20001端口，引擎连接控制中心的50002端口。

2. 连接不上首先排查网络环境，双方是否能相互ping通，端口通。

3. 常见的一种情况为虚连接，即引擎没连上控制中心。

4. 重置引擎认证密钥 “ IDS(config)#”模式下命令：reset vcecomm key