ipsec vpn无法建立的问题

进入系统视图

system-view

-

创建一个IKE对等体，并进入IKE-Peer视图

ike peer peer-name

必选

配置IKE第一阶段的协商模式

exchange-mode { aggressive | main }

可选

缺省情况下，IKE阶段的协商模式使用主模式

配置IKE对等体引用的IKE安全提议

proposal proposal-number&<1-6>

可选

缺省情况下，IKE对等体未引用任何IKE安全提议，使用系统视图下已配置的IKE安全提议进行IKE协商

(1)     在创建IKE 对等体时，如果不引用IKE安全提议：

·     当IKE第一阶段设置为主模式时，协商发起方会把自己所支持的所有IKE安全提议（最多100个）放在首包中发送给协商响应方；

·     当IKE第一阶段设置为野蛮模式时，协商发起方会把序号最小的IKE安全提议放在首包中发送给协商响应方。

(2)     在创建IKE 对等体时，如果引用了IKE安全提议，那么协商发起方会把自己配置的IKE安全提议发送给协商响应方

配置采用预共享密钥认证时，所使用的预共享密钥

pre-shared-key [ cipher | simple ] key

二者必选其一

根据IKE提议使用的认证方法选择其中一个配置

配置采用数字签名认证时，证书所属的PKI域

certificate domain domain-name

选择IKE第一阶段的协商过程中使用ID的类型

id-type { ip | name | user-fqdn }

可选

缺省情况下，使用IP地址作为IKE协商过程中使用的ID

配置本端及对端安全网关的名字

配置本端安全网关的名字

local-name name

可选

对端使用remote-name配置的网关名字应与IKE协商发起端所配置的本端安全网关名字保持一致

缺省情况下，未定义本端安全网关的名字，使用系统视图下本端安全网关的名字

配置对端安全网关的名字

remote-name name

配置本端及对端安全网关的IP地址

配置本端安全网关的IP地址

local-address ip-address

可选

对端使用remote-address配置的IP地址应与IKE协商发起端使用local-address命令所配的安全网关IP地址保持一致

缺省情况下，IKE协商时的本端安全网关IP地址使用应用IPsec安全策略的接口的主IP地址

配置对端安全网关的IP地址

remote-address { hostname [ dynamic ] | low-ip-address [ high-ip-address ] }

配置IKE/IPsec的NAT穿越功能

nat traversal

可选

在IPsec/IKE组建的VPN隧道中，若存在NAT安全网关设备，则必须配置IPsec/IKE的NAT穿越功能

缺省情况下，没有配置NAT穿越功能

配置本端及对端安全网关的子网类型

配置本端安全网关子网类型

local { multi-subnet | single-subnet}

可选

缺省情况下，为单子网类型。这两条命令仅在与NETSCREEN的设备互通时使用

配置对端安全网关子网类型

peer { multi-subnet | single-subnet}

为IKE对等体应用一个DPD

dpd dpd-name

可选

缺省情况下，IKE对等体没有应用DPD

关于DPD的配置请参见“1.3.7  配置对等体存活检测”