vpn故障排除手册.doc

IPsec VPN故障排除手册 Version1.0 迈普技术服务中心 2008-05-01 一、迈普公司VPN产品简介 迈普公司VPN产品型号还是比较多，包括IPsec VPN产品型号：VPN3030、老VPN3020、VPN3020B、VPN3010、VPN3010E、VPN3005B、VPN3005C、VPN3005C-104、VRC以及防火墙产品型号：FW520、FW505 1.1根据系统平台区分： VPN3020、FW520：基于linux操作系统采用X86工控机硬件平台。VPN3020支持SSP02硬件加密。FW520不支持SSP02算法，VPN3020和FW520不支持迈普CMS颁发证书并通过预共享方式建立VPN。 FW505：基于linux操作系统采用800路由器硬件平台，FW505不支持SSP02算法。 VPN3020B：基于vxworks操作系统采用3740路由器硬件平台。支持硬件通用加密卡。 VPN3005B：基于vxworks操作系统采用800路由器硬件平台。不支持硬件通用加密卡。 VPN3010/3010E：基于vxworks操作系统采用定制的269×硬件平台。VPN3010E支持硬件通用加密卡。 VPN3005C：基于vxworks操作系统采用2600CD路由器硬件平台。不支持硬件通用加密卡。 VPN3005C－104：基于vxworks操作。 VRC：纯软件IPsec。支持WINDOWS平台。 1.2产品形态(只介绍目前在售产品) MPSec VPN3020B具有4个多功能插槽（MIM），标配2个千兆光/电自选以太口，最多支持6个以太接口，密文吞吐量达到200Mbps，支持双电源冗余、业务板卡热插拔。 MPSec VPN3010E标配4个百兆以太口，最多支持4个以太接口，密文吞吐量达到50Mbps。 MPSec VPN3005C标配2个百兆以太口，最多支持3个以太接口，密文吞吐量达到10Mbps，并提供VoIP插槽可插入VoIP语音模块实现VoIP与VPN的融合。 MPSec VPN3005C-104标配5个百兆以太口，密文吞吐量达到2Mbps。 二、IPsec配置简要说明 VPN的配置可以通过两种方式来配置，一是手工配置，另外一种是通过网管方式获取配置。网管方式相对比较简单，在网管服务器上添加节点参数和相关资源后，只需要在VPN设备上添加简单的初始化参数后即可获取配置。 2.1网管方式VPN的配置 配置上网参数 该处只需要保证该设备能够连接上公网，同时需要指定一个默认路由，该路由指向外出IP或接口。 配置上点参数 请进入shell配置界面，进入config模式，然后输入 (config)#crypto init-config 分别配置user-name，password，以及中心VPN的地址server address，完成后的结果如下 crypto init-config server address user-name test password 3ee86377cf3de377€ exit 获取上点配置 在enable模式下，输入 start crypto init-config 如果返回成功的话，该VPN就已经获取了必需的初始配置，以对应安全用户的身份加入了PM3的管理范围了，最后保存一下配置就可以了。 网管方式的配置只需要上述三步即可。 2.2 手工配置 关键配置：预共享密钥或证书、保护数据流、对端地址、IKE和IPsec使用的加密算法。具体命令和软件版本有关。 预共享密钥配置： crypto ike key password {any|address A.B.C.D|identity idstring} 当指定identiey关键字时，常常是用于积极模式协商（主模式的情况下ID是被加密的，没有办法找到对应的密钥，就无法协商。），可以支持通配符。例如： crypto ike key maipu identity *. 该命令是说，对所有ID后缀是的协商是用密钥为maipu。 证书的配置是用：配置证书服务器（地址、证书类型）、下载证书服务器证书、下载设备证书。 cry ca identity CAstring //配置证书服务器信息 ca type {ctca|mpcms|windows} //配置证书服务器类型。ctca：上海电信CA。 enrollment {address string|url string} //配置证书服务器地址 crypto ca au