USG与天融信防火墙对接IPSEC VPN不成功

发布时间:  2012-07-17 浏览次数:  218 下载次数:  0
问题描述
我司防火墙与天融信防火墙建立IPSEC, 配置以后display ike sa第一阶段都无法建立
USG2130参考天融信的参数配置如下:
acl number 3004
rule 0 permit ip source 1.1.1.1 0 destination 2.2.2.2 0
#
ike proposal 4
encryption-algorithm 3des-cbc
authentication-algorithm md5
#
ike peer a
pre-shared-key 123456
ike-proposal 4
undo version 2
remote-address X.X.X.X
#
ipsec proposal 4
esp encryption-algorithm 3des
#
ipsec policy yujiacl 4 isakmp
security acl 3004
ike-peer a
proposal 4
sa duration traffic-based 86400

天融信一阶段的配置:
告警信息
处理过程
一、查检配置,各个阶段的协商参数配置都一致
二、查看一阶段的配置时,只有天融信多配置了对方标识与本地标识,但USG2130采用主模式时没有配置标识,去掉天融信防火墙的标识配置以后,隧道建立正常
根因
天融信防火墙配置了对端标识与本地标,但我们设备没有配置,第一阶段协商时,USG2130以IP地址作为标识,但天融信配置的为其它的标识,协商失败
建议与总结

END