解决USG2200和Dlink设备配置IPSEC对接问题

发布时间:  2012-07-19 浏览次数:  154 下载次数:  13
问题描述
某客户利用USG2200V100R005版本防火墙和友商设备配置Dlink对接,因客户配置时,未考虑到两端IPSEC的默认配置,造成配置好后,IPSC链路建立不起来。最终协助客户修改了配置,建立了IPSEC隧道,以下是USG2200V100R005和友商Dlink设备具体配置情况。
告警信息
处理过程
Dlink配置:

Dlink第一项和第三项对应我司的感兴趣流配置

acl number 3050
description caiwu
rule 3050 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.5.0 0.0.0.255

Dlink第二项对应我司IKE peer caiwu 中的

remote-address 60.216.83.58 项。
#

Dlink第四项PSK验证IKE密钥对应我司IKE下的

pre-shared-key caiwu

第五项,友商设备IPSEC高级设置中,IKE DH group组,友商设备设置是group 2 ,而我司设备默认为 group1.所以在做对接时,一定要注意默认参数,必须配置成一致。

第六项加密方式上,我司设备需要改为 encryption-algorithm aes-cbc

第七项,验证算法,友商采用SHA1,而我司设备默认也是SHA1,故不用修改。

第八项,ike sa 的保持时间,把友商设置的和我司默认时间一致即可。

第九项,第十项,客户配置了PSF前向安全性功能及DH组,我司设备是在IPSEC子策略里面配置 pfs dh-group2即可。

第十一、十二项为客户配置ipsec阶段的加密和认证配置,我司设备需要在 ipsec proposal 下配置
esp authentication-algorithm sha1
esp encryption-algorithm aes

第十三项为IPSEC的保持时间,我司设备需要在ipsec子策略里面做相应的修改。
sa duration time-based 3600

第十四项为对IP数据配置压缩功能,该功能经确认,不是必配项,在我司客户上可以忽略。

对以上参数依次的对比修改,保持两端的IKE 、IPSEC 及感兴趣流数据一致,经测试,IPSEC数据流可以建立成功,并且内网之间可以通信。

详细配置见附件。

根因

客户配置IPSEC问题,未考虑到默认参考,造成链路不通。

建议与总结

配置IPSEC和友商对接时,一定要注意对比参数及两端设备的默认参数是否一致。

END