[HELP] 企业两台NETSCREEN的VPN互连问题
[HELP] 企业两台NETSCREEN的VPN互连问题
企业两台NETSCREEN的VPN互连问题
现在正为公司配置与分公司的网络互连的项目,遇到了个问题,麻烦 mzwa 和各位兄弟给指点指点。
1.需求:公司要求将总公司与分公司通过VPN将两边的LAN互连互通,并能客户端能通过网上邻居进行互访问共享文件。
2.网格结构:
总公司这边是 Internet --(公网固定IP)--
Netscreen --(10.200.10.0网段)-- 路由器 --(10.200.20.0网段)-- LAN;
分公司那边是 Internet --(公网固定IP)--
Netscreen --(10.200.30.0网段)-- 交换机 --- LAN。
3.实现方式:
总公司是5GT(OSv5.0),做基于路由的LAN to LAN VPN,预共享密钥;
分公司是5XT(OSv4.0),做基于路由的LAN to LAN VPN,预共享密钥;并在Routing
中除了添加10.200.10.0网段的Tunnel.1路由外,还添加了10.200.20.0网段的Tunnel.1路由,还在地址中添加了10.0和20.0两个网段的址址,并将这两个地址加入一个Group中,在Policies中添加这个Group进行配置。
(在路由VPN的配置操作中步骤严格按NETSCREEN中文配置指南中的说明进行典型配置,除了分公司这边的加路由和地址是我加的);
4.现状:
总公司的办公内网(10.200.20.0网段)的PC通过Ping通分公司的IP(10.200.30.0网段),并能通过手动输入IP地址方式查看分公司网段的共享文件,但不能在网上邻居中查看到分公司的PC;如果将PC的IP改成(10.200.10.0网段),即路由器与NS连接的网段,则能顺利的通过网上邻居查看分公司的PC共享文件。用tracert查看,第一跳是内网路由器网关,第二跳是NS防火墙Trust网关,第三跳到30.0网段分公司PC的IP……
注:在(10.200.10.0网段)安装有一台WINS服务器,总公司与分公司的办公电脑均通过访问,在WINS数据库中已经能看到所有PC的计算机名和IP,即20.0和30.0网段的PC通过顺利查询。
在分公司方面除了,30.0网段的PC能通过VPN访问10.0网段的PC外,不论是手工输入IP地址,还是网上邻居都不能访问总公司内网(20.0网段)的PC,Ping总公司的20.0网段的PC的IP时,均是超时,用tracert查看,发现除了第一跳到30.0网段在NS防火墙上的网关后,就找不到下一跳的网关了,Time
Out......
我花了一天时间也没有找到解决分从公司到总公司路由后面的PC访问方法……
大家看看我在什么地方还差什么参数没有添加上去?
唉……郁闷中........
2001-2007 Comsenz Inc.
