ipsec×××配置心得- -

ipsec×××配置心得，ipsec
 

今天在公司建立了一个ipsec×××，如下上海的路由器采用双ADSL拨入internet，要求在上海和南京之间建立LAN--LAN的ipsec×××通道

上海内网－－Hiper路由器－－ADSL1－－Internet－－ADSL－－Hiper路由器－－南京内网
                                      ADSL2

如果两端路由器全部采用单线路接入的话，问题将会简化，按照正常的步骤可以建立***，现在比较特殊的是上海的路由器采用了双ADSL线路接入internet，按照正常的步骤建立***以后发现***建立好后，在内网ping对端内网不通，在hiper上可以ping通对端内网，经过分析排除错误后发现有以下关键性问题没有解决（假设ipsec建立在adsl1线路上）

1：ipsec通道进行sa协商时必须要求始终使用同一条线路进行协商，现在出现一个问题就是上海内网的出internet的包会走两条不同的线路，当其走adsl1时，ok没有问题，但是当其走adsl2时问题就出来了，这些包不走ipsec，它会直接奔internet而去

2：当ipsec建立好以后（第一阶段的协商已经结束），进行数据传输时，还会重复上面的问题，上海内网的包还会走两条线路，当它走adsl2的时候它就直接进入internet

了解了上面出现的问题后我们就会找到解决的方法了

1：第一阶段，既然你上海内网建立对端***的话，请求sa协商的包肯定要连接对端的ip地址，ok，那我就在上海的路由器上做个限制，强制凡是到对端ip地址的包全部走adsl1，这样当上海内网的要建立***时，全部走adsl1进行协商，这是保障第一阶段sa的建立的路由

2：同第一阶段的解决方法一样，进行数据传输时强制凡是到对端内网的包都走adsl1，加两条路由那么这个问题就会解决了