一、组网需求

总部使用VPN产品，分支使用四代NBR设备，用户要求使用野蛮模式的FQDN方式建立ipsec隧道。

 

二、组网拓扑

 

三、配置要点

1、配置分部（NBR-E）的 ipsec功能

2、配置VPN设备的ipsec功能

3、两端的参数要保持一致，本案例选择的参数如下：

            认证方式：预共享密钥，密钥为ruijie

     IKE算法：DES-SHA，DH1

            IPSec协商交互方案：esp(des-sha)

 

四、配置步骤

1、配置NBR-E（分部）IPSEC

1）点击【VPN配】-【开始VPN配置】

2）下一步进行“分支机构的配置”

3）配置要与之建立ipsec的对端地址，预共享密钥和感兴趣流；

4）选择ipsec为野蛮模式并开启FQDN验证；

 

说明：ipsec的身份验证有三种方式，IP地址验证、FQDN验证、数据证书验证，FQDN验证比较简单，可以理解为就是一个名字或字符的验证，比如开启了FQDN后，需要本地配置一个名字，对端也配置一个名字，必须两端的这两个名字都填对才可以建立ipsec，启到了身份验证的作用；

 

2、配置VPN设备（总部）                      

1、登陆VPN设备在ipsec VPN---隧道配置---添加设备，第一阶段配置如下：

2、在高级选项开启积极模式（设备上叫野蛮模式）

3、在ipsec VPN---隧道配置---添加隧道配置感兴趣流和第二阶段参数；

           

五、配置验证

1、设备端查看

           

 

2、测试是否可以互访：

 

六、注意问题

1、确保两端在设置VPN之前能够正常上网。

2、确认两端的配置参数一致，否则会导致vpn无法建立成功。

3、配置vpn后设备会自动下发aaa配置 （登录设备的时候会提示输入用户名和密码，所以要重新配置telnet的密码）；

4、当配置vpn的时候，第一次配置完并且清空配置，要关闭浏览器，再次配置，之前的配置才会被清空；

5、野蛮模式方案建议在有NAT穿越或与非常锐捷路由器对接时使用，能很好的提高兼容性，便于ipsec建立成功；