拓撲

拓撲可以儲存到本地，然後擴大檢視，這樣才能看的更清楚。（拖動到新視窗開啟即可）

路由器配置VPN，實現財務部門互訪，並且AP能夠正常關聯到總部AC。

3.1、建立環回口 [GW]interface lo0 [GW-LoopBack0]ip address 2.2.2.2 32 說明：該地址是與總部建立Tunnel用的

3.2 定義IKE peer [GW]ike peer to-center1 [GW-ike-peer-to-center]pre-shared-key simple ccieh3c.taobao.com [GW-ike-peer-to-center1]remote-address 202.100.1.2 說明：定義了一個策略去往總部，Proposal使用預設的。

3.3 定義IPSEC Proposal [GW]ipsec proposal to-center 說明：使用預設策略即可

3.4 定義感興趣流量 [GW]acl number 3000 [GW-acl-adv-3000]rule permit gre source 2.2.2.2 0 destination 1.1.1.1 0 說明：定義GRE的流量為感興趣流量3.5定義ipsec policy [GW]ipsec policy to_center 1 isakmp [GW-ipsec-policy-isakmp-to_center-1]ike-peer to-center1 [GW-ipsec-policy-isakmp-to_center-1]security acl 3000 [GW-ipsec-policy-isakmp-to_center-1]proposal to-center 說明：用Ipsec Policy模板關聯策略。

3.6 定義Tunnel介面 [GW]interface Tunnel 0 [GW-Tunnel0]source lo0 [GW-Tunnel0]destination 1.1.1.1 [GW-Tunnel0]ip address 10.1.1.2 30 說明：定義Tunnel介面，源為自己環回口，目的為總部的環回口

3.7 定義OSPF [GW]ospf 1 router-id 2.2.2.2 [GW-ospf-1]area 0 [GW-ospf-1-area-0.0.0.0]network 10.1.1.2 0.0.0.0 說明：開啟OSPF功能

3.8 定義路由過濾 [GW]ip ip-prefix import_static permit 172.16.4.0 24 [GW]ip ip-prefix import_static permit 172.16.1.0 24

[GW]route-policy import-staic-filter permit node 10 [GW-route-policy]if-match ip-prefix import_static

[GW]route-policy import-conn-filter permit node 10 [GW-route-policy]if-match ip-prefix import_static 說明：路由過濾呼叫，只允許172.16.4.0與1.0通過

[GW]ospf 1 [GW-ospf-1]import-route static route-policy import-static-filter [GW-ospf-1]import-route direct route-policy import-conn-filter 重分佈進OSPF

3.9 呼叫VPN在Dialer介面 [GW]interface Dialer 1 [GW-Dialer1]ipsec policy to_center 說明：這裡在撥號介面呼叫VPN，而不是物理介面。

【總部IPSEC配置回顧】 IPSEC VPN部署

（1）為什麼需要部署Gre Over ipsec 說明：VPN的需求其實非常簡單，就是與分部進行安全的訪問，當然只允許財務部之間的互訪【這個根據需求決定】，這路需要注意，除了這個以外，還有無線AP需要註冊到總部來，這個需要通過VPN進行加密連線，但是這裡總部是固定IP，而分部則是PPPOE撥號，這個只能通過動態策略模板來進行部署。所以這裡需要實施 Gre Over ISPEC。

（2）IKE 對等體配置 [USG-GW]ike peer to-branch [USG-GW-ike-peer-to-branch]pre-shared-key ccieh3c.taobao.com [USG-GW-ike-peer-to-branch]undo version 2

（3）IPSEC策略配置 [USG-GW]ipsec proposal to-branch

不需要配置策略 ，預設有md5、des、esp-tunne，當然可以根據自己需求定義。

（4）定義感興趣流量 [USG-GW]acl number 3004 [USG-GW-acl-adv-3004]rule permit gre source 1.1.1.1 0 destination 2.2.2.2 0 說明：該ACL定義的是GRE的流量，但是匹配有些特殊，該說明在後續說明。

（5）動態policy VPN模板 [USG-GW]ipsec policy-template dyl2l 1000 [USG-GW-ipsec-policy-template-dyl2l-1000]security acl 3004 [USG-GW-ipsec-policy-template-dyl2l-1000]ike-peer to-branch [USG-GW-ipsec-policy-template-dyl2l-1000]proposal to-branch

（6）靜態Policy關聯動態Policy vpn [USG-GW]ipsec policy vpn 999 isakmp template dyl2l 說明：靜態Policy關聯動態 Policy的VPN，之前定義過L2TP OVER IPSEC，所以這裡只需要關聯即可

（7）介面呼叫 說明：介面已經呼叫之前的L2TP，所以不需要管理。

（8）Tunnel介面配置 [USG-GW]interface lo0 [USG-GW-LoopBack0]ip address 1.1.1.1 32

[USG-GW]interface Tunnel 0 [USG-GW-Tunnel0]tunnel-protocol gre [USG-GW-Tunnel0]ip address 10.1.1.1 30 [USG-GW-Tunnel0]source lo0 [USG-GW-Tunnel0]destination 2.2.2.2 說明：Tunnel介面的定義與平時的配置不一樣，平時都是通過公網地址進行配置，但是由於分支是PPPOE環境，所以這裡並不能明確指定，所以這裡利用一個特性，兩邊各自建立一個Loopback介面，然後通過GRE的流量來觸發VPN的建立，這裡形成一個 變相的 Gre over ipsec的現象，這個可以在後續看到現象的時候在分析。

（9）新建Zone，加入對應介面 [USG-GW]firewall zone name gre [USG-GW-zone-gre]set priority 35 [USG-GW-zone-gre]add interface Tunnel 0

（10）放行VPN到內網的流量，雙向 [USG-GW]firewall packet-filter default permit interzone trust gre

（11）VPN需要放行的流量 說明：之前已經放行了L2TP與IPSEC IKE的，所以這裡還需要放行一個GRE，因為GRE的流量預設也是拒絕的。 [USG-GW]policy interzone local isp_dx inbound [USG-GW-policy-interzone-local-isp_dx-inbound]policy 0 [USG-GW-policy-interzone-local-isp_dx-inbound-0]policy service service-set gre [USG-GW-policy-interzone-local-isp_dx-inbound-0]policy destination 1.1.1.1 0

[USG-GW]policy interzone local isp_lt inbound [USG-GW-policy-interzone-local-isp_lt-inbound]policy 0 [USG-GW-policy-interzone-local-isp_lt-inbound-0]policy service service-set gre [USG-GW-policy-interzone-local-isp_lt-inbound-0]policy destination 1.1.1.1 0

說明：該策略之前已經定義好了，只需要增加一個GRE協議進去，另外也是允許訪問1.1.1.1，因為要協商GRE。

（12）執行OSPF 說明：在Tunnel中建議跑OSPF協議，當然靜態路由也是可以的，但是不方便收斂，而且OSPF可以實現負載均衡效果，因為總部部署的是雙ISP。 [USG-GW]ospf 1 router-id 1.1.1.1 [USG-GW-ospf-1]area 0 [USG-GW-ospf-1-area-0.0.0.0]network 10.1.1.1 0.0.0.0 說明：允許OSPF，保證在Tunnel中雙方建立OSPF鄰居，在安全的隧道中傳輸資料。

（13）只允許分支看到指定的路由【也就是需要加密通訊的】 說明：在該需求中，我們只需要財務部門之間進行互訪，另外分支AP可以正常的註冊到AC上面來，所以我們希望的是，雙方只看到各自需要的路由，這樣只對這些流量加密，其餘的則不加密。

靜態路由定義 [USG-GW]ip route-static 192.168.21.0 24 192.168.100.254 [USG-GW]ip route-static 192.168.1.251 32 192.168.100.254

[USG-GW]ip ip-prefix import_static permit 192.168.21.0 24 [USG-GW]ip ip-prefix import_static permit 192.168.1.251 32

[USG-GW]route-policy ospf-filter-routing permit node 10 [USG-GW-route-policy]if-match ip-prefix import_static

[USG-GW]ospf 1 [USG-GW-ospf-1]import-route static route-policy import_static 說明：這樣的話，當OSPF建立鄰居後，對方只會收到這2條靜態路由，為了防止 以外的話，做個route-map，裡面用ACL匹配只允許這2條進去，這樣的好處就是防止以後如果添加了其他靜態路由的話，對方也收不到

3.10 測試結果 3.10.1 ：IKE協商sa檢視

3.10.2 OSPF鄰居檢視

可以看到雙方已經成功建立OSPF鄰居。

3.10.3 OSPF路由檢視

可以看到雙方都學到了需要的流量，USG端只需要知道怎麼去對方的財務部，並且與AP的管理流量。而分支這邊學到了總部這邊的財務與AC的地址。

財務部之間互訪測試

為財務部的地址進行訪問分部的

可以看到是可以相互訪問的。

加解密的資料包

可以看到加密資料包一直在增加。

雙鏈路VPN部署【高可用性，包含總部與分部】

說明：在該專案中，可以看到總部是有雙線路出口的，也就是說，分支可以跟VPN建立兩條鏈路的VPN，這樣的話無論總部哪一條鏈路出現故障，還能保證VPN的繼續使用，而之前的 部署中，只部署了與電信建立VPN，而聯通的鏈路是空閒的，所以這裡我們還需要部署與聯通建立另外一條鏈路。

4.2 與主線鏈路建立VPN【已經建立成功】

4.3 與聯通建立另外一條 VPN鏈路 說明：與總部聯通鏈路建立VPN，必須跟電信的鏈路一樣，在各自建立一個Tunnel介面，來保證雙方可以正常建立VPN，與OSPF鄰居建立。

4.3.1 總部VPN配置

（1）Loopback口建立 [USG-GW]int lo 1 [USG-GW-LoopBack1]ip address 1.1.1.2 32

（2）IKE策略與IPSEC Proposal 說明：可以直接引用之前的策略配置，因為這個是一樣的，可以重複定義。

（3）感興趣流量 ACL定義 [USG-GW]acl number 3005 [USG-GW-acl-adv-3006]rule 1 permit gre source 1.1.1.2 0 destination 2.2.2.1 0 說明：這裡定義了感興趣流量依然是另外一個環回介面到，分支的另外一個環回介面的流量，走VPN。

（4）動態ipsec policy部署 [USG-GW]ipsec policy-template lt 1000 [USG-GW-ipsec-policy-template-lt-1000]security acl 3005 [USG-GW-ipsec-policy-template-lt-1000]ike-peer to-branch [USG-GW-ipsec-policy-template-lt-1000]proposal to-branch 說明：動態模板呼叫了之前的IKE策略與Proposal策略，還呼叫了感興趣流量

（5）靜態ipsec 關聯 動態模板 [USG-GW]ipsec policy vpn_lt 1000 isakmp template lt

（6）呼叫在出介面 [USG-GW]int g0/0/2 [USG-GW-GigabitEthernet0/0/2]ipsec policy vpn_lt

（7） 建立Tunnel介面 [USG-GW]interface Tunnel 1 [USG-GW-Tunnel1]tunnel-protocol gre [USG-GW-Tunnel1]source LoopBack 1 [USG-GW-Tunnel1]destination 2.2.2.1 [USG-GW-Tunnel1]ip address 10.1.1.5 30

（8）把介面加入zone [USG-GW]firewall zone gre [USG-GW-zone-gre]add interface Tunnel 1

（9）策略放行 說明：之前已經把策略放行過了，所以這裡不需要再次放行。

（10）VPN需要放行的流量 [USG-GW]policy interzone local isp_lt inbound [USG-GW-policy-interzone-local-isp_lt-inbound]policy 0 [USG-GW-policy-interzone-local-isp_lt-inbound-0]policy destination 1.1.1.2 0 說明：這裡必須放行GRE建立的流量，否則GRE通訊不了，導致OSPF鄰居建立不了。

（11）OSPF執行與路由策略 [USG-GW]ospf 1 [USG-GW-ospf-1]area 0 [USG-GW-ospf-1-area-0.0.0.0]network 10.1.1.5 0.0.0.0 說明：只需要直接宣告即可，路由策略之前已經呼叫過了

（12）呼叫在介面 [USG-GW]int g0/0/2 [USG-GW-GigabitEthernet0/0/2]ipsec policy vpn_lt

4.3.2 分部VPN部署【連總部接聯通鏈路】

（1）定義ike peer [GW]ike peer to-center2 [GW-ike-peer-to-center2]remote-address 61.128.1.2 [GW-ike-peer-to-center2]pre-shared-key simple ccieh3c.taobao.com 說明：分部是需要定義另外一個策略的，去聯通的地址

（2）ipsec Proposal 說明：這裡引用之前定義的策略即可。

（3）建立環回口 [GW]interface lo1 [GW-LoopBack1]ip address 2.2.2.1 32

（4）建立Tunnel介面 [GW]interface Tunnel 1 [GW-Tunnel1]source lo1 [GW-Tunnel1]destination 1.1.1.2 [GW-Tunnel1]ip address 10.1.1.6 30

（5）感興趣流量定義 [GW]acl number 3001 [GW-acl-adv-3001]rule permit gre source 2.2.2.1 0 destination 1.1.1.2 0

（6）定義ipsec policy [GW]ipsec policy to_center 2 isakmp [GW-ipsec-policy-isakmp-to_center-2]security acl 3001 [GW-ipsec-policy-isakmp-to_center-2]ike-peer to-center2 [GW-ipsec-policy-isakmp-to_center-2]proposal to-center

（7）呼叫在撥號介面

OSPF宣告以及路由策略 [GW]ospf 1 [GW-ospf-1]area 0 [GW-ospf-1-area-0.0.0.0]network 10.1.1.6 0.0.0.0

說明：加入宣告即可，路由策略在之前已經做過了。

4.3.3 測試VPN建立

說明：在USG上面可以看到有一個IPSEC VPN測試建立，而H3C這邊的路由，則有2個。說明VPN是建立成功的。

可以看到，鄰居只建立了一個，還是之前的鄰居。在通常情況下可以有2個鄰居的。

這裡的原因是USG防火牆上面，把對於同一個源地址，建立的2條VPN鏈路看成一條，所以預設情況下，只能從最先建立的VPN使用，另外一條做備用狀態。

主備切換測試

把USG的主介面shutdown掉後。

可以看到提示，之前的介面已經down了，而這個新的鄰居已經建立

說明：可以看到該型別只能實現主備複用，而不能支援同時建立，負載均衡的情況，這是USG特性的限制，所以也沒什麼辦法，如果是思科的話，是肯定支援的。

4.3.4 總部與分部VPN全部配置，以及建立VPN的過程思路總結

總部VPN配置部分【附帶註釋】 （1）ike peer配置部分

ike peer to-branch pre-shared-key ccieh3c.taobao.com undo version 2 說明：這裡與分別的金鑰同步即可，另外注意關閉ike的version 2

（2）ipsec Proposal部分 ipsec proposal to-branch 說明：有預設配置，可以不需要配置，根據自己需求來決定

（3）感興趣流量部分 acl number 3004 【用於電信】 rule 5 permit gre source 1.1.1.1 0 destination 2.2.2.2 0 # acl number 3005【用於網通】 rule 1 permit gre source 1.1.1.2 0 destination 2.2.2.1 0 說明：一個用於電信做Tunnel的，一個個聯通做Tunnel的，要區分開來。

（4）動態ipsec 策略模板 ipsec policy-template dx 999 security acl 3004 ike-peer to-branch proposal to-branch # ipsec policy-template lt 1000 security acl 3005 ike-peer to-branch proposal to-branch 說明：由於分別是PPPOE這樣的動態方式撥入的，所以IP地址並不明確，所以我們需要定義動態模板來實現接入。

（5）靜態ipsec 策略

ipsec policy vpn_dx 1000 isakmp template dx # ipsec policy vpn_lt 1000 isakmp template lt 說明：由於動態的策略是不能定義在介面下的，所以必須用靜態的關聯，然後呼叫在介面下，然後一個靜態模板只能關聯一個動態模板，當然高版本的系統支援多個。

（6）介面呼叫 這裡就不在給出了，電信的呼叫在電信的介面，聯通的呼叫在聯通的介面即可

（7）Tunnel介面配置 interface Tunnel0 tunnel-protocol gre ip address 10.1.1.1 255.255.255.252 source 1.1.1.1 destination 2.2.2.2

interface Tunnel1 tunnel-protocol gre ip address 10.1.1.5 255.255.255.252 source 1.1.1.2 destination 2.2.2.1 說明：該型別主要是與對方建立2個Tunnel，用來做OSPF建立等，因為預設情況下VPN是不支援組播與廣播的。還需要注意的地方就是，預設情況下USG是沒有封裝的，所以注意封裝為GRE

（8） Tunnel介面加入Zone，與策略放行 firewall zone name gre set priority 35 add interface Tunnel0 add interface Tunnel1

firewall packet-filter default permit interzone trust gre 說明：這裡必須加入Zone，接口才能正常執行，另外需要放行trust與gre的雙向流量，這樣的話VPN的流量就可以訪問了，而且也不影響內部網路訪問外網的策略。

（9）VPN需要放行的流量

policy interzone local isp_dx inbound 【用於電信的策略】 policy 0 action permit policy service service-set udp policy service service-set esp policy service service-set l2tp policy service service-set gre policy destination 1.1.1.1 0 policy destination 202.100.1.2 0

policy interzone local isp_lt inbound 【用於聯通的策略】 policy 0 action permit policy service service-set udp policy service service-set esp policy service service-set l2tp policy service service-set gre policy destination 61.128.1.2 0 policy destination 1.1.1.2 0 說明：這裡電信的策略裡面，放行了UDP ESP L2TP與GRE，這些都是需要明確放行的，因為預設情況下USG是拒絕的，不處理這些資料包，不放行的話，導致VPN的建立與資料傳輸有問題，而目的地址指定是因為GRE的建立需要放行這個流量通過，否則GRE通訊不了，導致OSPF建立不了。聯通也是一樣。

（10）OSPF的配置 ip route-static 192.168.1.251 255.255.255.255 192.168.100.254 ip route-static 192.168.21.0 255.255.255.0 192.168.100.254

ip ip-prefix import_static index 10 permit 192.168.21.0 24 ip ip-prefix import_static index 20 permit 192.168.1.251 32

route-policy ospf-filter-routing permit node 10 if-match ip-prefix import_static

ospf 1 router-id 1.1.1.1 import-route static route-policy import_static area 0.0.0.0 network 10.1.1.1 0.0.0.0 network 10.1.1.5 0.0.0.0 說明：路由協議的運用使得雙方建立了動態路由協議，當然我們並不希望所有的流量都可以訪問，所以這裡必須定義一個路由過濾來允許我們希望給對方的路由，其餘的則不傳送。

分部VPN配置部分【附帶註釋】 （1）ike peer配置部分 ike peer to-center1 pre-shared-key simple ccieh3c.taobao.com remote-address 202.100.1.2 # ike peer to-center2 pre-shared-key simple ccieh3c.taobao.com remote-address 61.128.1.2 # 說明：一個用來與電信建立VPN，另外一個與聯通的鏈路建立

（2）ipsec proposal 配置 ipsec proposal to-center 說明：這個可以通用的，而且有預設策略，所以不需要建立多個，安全策略可以根據自己需求定義。

（3）感興趣流量配置 acl number 3000 rule 5 permit ip source 2.2.2.2 0 destination 1.1.1.1 0 acl number 3001 rule 0 permit gre source 2.2.2.1 0 destination 1.1.1.2 0 說明：一個ACL用於電信用的VPN，另外一個用於聯通的VPN

（4）ipsec 策略配置部分 ipsec policy to_center 1 isakmp security acl 3000 ike-peer to-center1 proposal to-center # ipsec policy to_center 2 isakmp security acl 3001 ike-peer to-center2 proposal to-center 說明：該策略綁定了之前定義的策略，一個用於電信VPN建立，另外用於聯通VPN建立

（5）撥號介面呼叫

兩邊路由的說明 說明：在實際工作中，一般直接預設路由指向出口ISP即可，這樣既可以包含VPN的流量，也包含訪問Internet的流量。[/v_act]

4.3.5分析VPN建立過程，以及整個VPN實現的效果

說明：可以看到VPN的配置有幾個特殊支援，1、Tunnel介面的配置，不是以公網介面作為源目，而是定義了兩對環回口作為各自Tunnel的源與目，這主要是因為分支機構那邊沒有固定IP地址，所以根本不能明確指定對方的IP，所以這裡用私網地址用來固定雙方地址，如果建立GRE成功，那麼就得依靠VPN了。 2、ACL的定義，正常情況下，gre over ipsec的建立，ACL定義則以雙方公網地址的gre流量為感興趣流量，但是這裡定義的卻為私網地址定義的，這是為了能夠觸發VPN流量的建立。

（1）這裡VPN的建立，主要依靠OSPF週期性的傳送資料包用來與地方建立鄰居，由於是Tunnel介面，所以要封裝GRE，源IP為：2.2.2.2，目的地址為：1.1.1.1 | GRE | 源IP：10.1.1.2 目的IP：10.1.1.1 ：OSPF

（2）匹配預設路由出去，走的撥號介面，撥號介面有VPN的策略，並且之前的流量又匹配感興趣流量。

（3）這時候的封裝會以： | 公網地址： 源地址：【動態分配】 目的IP：202.100.1.2 | ESP | GRE頭部 | 實際真實IP流量，然後傳送給目的IP【也就是peer指定的202.100.1.2】

（4）總部收到以後，會以介面下的VPN呼叫，然後進行匹配對應的策略，如果一致則建立VPN的隧道，協商IKE sa與IPSEC SA。

（5）當VPN建立以後，那麼感興趣流量內的流量是可以互訪了，也就是GRE是可以互通的。

（6）Tunnel介面可以互通了，那麼自然OSPF就可以正常建立了。

（7）所以說整個過程都是通過OSPF來自動觸發建立的，如果沒有OSPF的觸發建立，那麼導致的情況就是，VPN根本建立不起來，所以這個特殊的地方必須使用動態路由協議來動態觸發建立，因為沒有動態觸發建立的話，那麼Tunnel永遠起不來，因為沒有流量觸發，不能建立VPN。當然可以使用特殊的技術，比如NQA等來觸發。

（8）當然這裡只能建立一個Tunnel，另外一個Tunnel做備用，這是因為USG處理機制導致的，不能通過一個源地址建立2個VPN隧道，所以只能做主備，而不能實現A/A，負載均衡的方式。

（9）這裡必須由分部的OSPF主動觸發VPN建立，而不能是總部觸發，因為總部根本就不知道分部在哪，不知道具體地址，根本就建立不起來VPN，所以只能通過分部OSPF流量觸發VPN的建立，然後整個VPN建立後，保證OSPF建立。

4.3.6 策略路由的影響

說明：因為該專案中總部是部署了策略路由，策略路由的作用都知道，會優先於路由表進行轉發處理，那麼對於VPN來說，會有怎麼樣的影響呢。

情況問題分析：分支與總部的VPN是主備關係，而不是A/A的，那麼之前策略路由部署的時候，是把財務部 192.168.21.0/24給直接轉發電信，那麼假設分部與總部VPN先建立的是聯通鏈路，那麼電信的VPN是作為備份的，不能轉發資料包，而策略路由又把資料包轉發給電信，那麼導致的情況則是VPN不通。

問題存在演示

可以看到現在分支主要與聯通建立的鄰居，10.1.1.5是Tunnel 1 的介面，Tunnel 1為聯通的介面。

可以看到現在Ping不同分支，這是因為在策略路由上面，192.168.21.0網段走的是電信，而現在電信是備用，所以就被丟棄了。

解決辦法。

在該ACL中多加一個條目，當21網段訪問分支的172.16.4.0的時候，不走策略路由，走路由轉發。

這時候就可以了。

4.3.7 NAT對於VPN的影響

說明：如果在平時的VPN部署中，NAT與VPN是衝突的，通常情況下需要在ACL中把對應的流量deny掉，完成訪問。

（1）總部的NAT與VPN影響 說明：總部USG的NAT策略是針對 trust到isp_dx或者isp_lt的，而並沒有針對trust到gre的Zone，所以不會進行影響。

而Trust與GRE沒任何配置，所以VPN流量不受到影響。

（2）分支的NAT與VPN影響 說明：如果分部部署了NAT的話，看是否有問題。 NAT在之前已經部署過，所以現在測試，

可以看到繼續訪問，沒任何問題，也就是說，不會對Tunnel下的流量做NAT轉換。

4.3.8 VPN優化

說明：為什麼需要對VPN進行優化呢，我們都知道VPN的流量傳輸都是要經過加解密的，如果資料流量非常大的話，就會影響裝置效能，而且VPN的傳輸速率也取決於VPN裝置的效能與頻寬。

（1）MTU與tcp mss優化 總部介面優化 [USG-GW]int g0/0/1 [USG-GW-GigabitEthernet0/0/1]mtu 1476

[USG-GW]int g0/0/2 [USG-GW-GigabitEthernet0/0/2]mtu 1476

[USG-GW]interface Tunnel 0 [USG-GW-Tunnel0]mtu 1450

[USG-GW]interface Tunnel 1 [USG-GW-Tunnel1]mtu 1450

[USG-GW]firewall tcp-mss 1400

說明：總部把介面修改了MTU值，這個主要為了防止分片，而TCP MSS也是為了防止分片，有時候會遇到開啟網站圖片什麼的打不開的情況，這就是TCP MSS太大造成的。

分部介面優化

[GW]interface Dialer 1 [GW-Dialer1]mtu 1460 [GW-Dialer1]tcp mss 1400

[GW]interface Tunnel 0 [GW-Tunnel0]mtu 1450 [GW-Tunnel0]tcp mss 1300

[GW]interface Tunnel 1 [GW-Tunnel1]mtu 1450 [GW-Tunnel1]tcp mss 1300

說明：分支的修改主要是在撥號介面，由於是PPPOE環境，所以MTU值必須修改的低點，TCP MSS也低點，這樣一切都是為了防止分片，造成一些應用訪問失敗或者是訪問效率低效的情況。

（2）OSFP的優化功能 說明：OSPF預設情況下在點對點環境下是每10s傳送一次Hello包的，而Hello包是通過VPN進行加解密的，這樣的話會每10一次加解密出現，而VPN的環境對於路由收斂沒必要這麼快，所以我們可以改長點。

interface Tunnel 0 ospf timer hello 300 說明：每5分鐘傳送一次Hello包，作為探測存在即可。