ipsecvpn故障排除手册

《ipsecvpn故障排除手册》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、IPsecVPN故障排除手册Version1.0迈普技术服务中心2008-05-01一、迈普公司VPN产品简介迈普公司VPN产品型号还是比较多，包括IPsecVPN产品型号：VPN3030、老VPN3020、VPN3020B、VPN3010、VPN3010E、VPN3005B、VPN3005C、VPN3005C-104、VRC以及防火墙产品型号：FW520、FW5051.1根据系统平台区分：VPN3020、FW520：基于linux操作系统采用X86工控机硬件平台。VPN3020支持SSP02硬件加密。FW520不支持SSP02算法，VPN30

2、20和FW520不支持迈普CMS颁发证书并通过预共享方式建立VPN。FW505：基于linux操作系统采用800路由器硬件平台，FW505不支持SSP02算法。VPN3020B：基于vxworks操作系统采用3740路由器硬件平台。支持硬件通用加密卡。VPN3005B：基于vxworks操作系统采用800路由器硬件平台。不支持硬件通用加密卡。VPN3010/3010E：基于vxworks操作系统采用定制的269×硬件平台。VPN3010E支持硬件通用加密卡。VPN3005C：基于vxworks操作系统采用2600CD路由器硬件平台。不支持硬件通

3、用加密卡。VPN3005C－104：基于vxworks操作。VRC：纯软件IPsec。支持WINDOWS平台。1.2产品形态(只介绍目前在售产品)MPSecVPN3020B具有4个多功能插槽（MIM），标配2个千兆光/电自选以太口，最多支持6个以太接口，密文吞吐量达到200Mbps，支持双电源冗余、业务板卡热插拔。MPSecVPN3010E标配4个百兆以太口，最多支持4个以太接口，密文吞吐量达到50Mbps。MPSecVPN3005C标配2个百兆以太口，最多支持3个以太接口，密文吞吐量达到10Mbps，并提供VoIP插槽可插入VoIP语音模块实

4、现VoIP与VPN的融合。MPSecVPN3005C-104标配5个百兆以太口，密文吞吐量达到2Mbps。二、IPsec配置简要说明VPN的配置可以通过两种方式来配置，一是手工配置，另外一种是通过网管方式获取配置。网管方式相对比较简单，在网管服务器上添加节点参数和相关资源后，只需要在VPN设备上添加简单的初始化参数后即可获取配置。2.1网管方式VPN的配置¡配置上网参数该处只需要保证该设备能够连接上公网，同时需要指定一个默认路由，该路由指向外出IP或接口。¡配置上点参数请进入shell配置界面，进入config模式，然后输入(config)#c

5、ryptoinit-config分别配置user-name，password，以及中心VPN的地址serveraddress，完成后的结果如下cryptoinit-configserveraddress202.21.1.1user-nametestpassword3ee86377cf3de377€exit¡获取上点配置在enable模式下，输入startcryptoinit-config如果返回成功的话，该VPN就已经获取了必需的初始配置，以对应安全用户的身份加入了PM3的管理范围了，最后保存一下配置就可以了。网管方式的配置只需要上述三步即可。

6、2.2手工配置关键配置：预共享密钥或证书、保护数据流、对端地址、IKE和IPsec使用的加密算法。具体命令和软件版本有关。预共享密钥配置：cryptoikekey{any

7、address

8、identity}当指定identiey关键字时，常常是用于积极模式协商（主模式的情况下ID是被加密的，没有办法找到对应的密钥，就无法协商。），可以支持通配符。例如：cryptoikekeymaipuidentity*.maipu.com该命令是说，对所有ID后缀是maipu.com的协商是用密钥为ma

9、ipu。证书的配置是用：配置证书服务器（地址、证书类型）、下载证书服务器证书、下载设备证书。crycaidentity//配置证书服务器信息catype{ctca

10、mpcms

11、windows}//配置证书服务器类型。ctca：上海电信CA。enrollment{address

12、url}//配置证书服务器地址cryptocaauthenticate//下载CA服务器证书cryptocaenroll{1024

13、2048

14、512}//

15、下载设备证书。1024/2048/512指RSA密钥长度。driver_name：指设备在证书服务器上注册的用户名。CMS必须先注册，windows证