USG5300和联想网御防火墙ipsec vpn对接实例

发布时间:  2012-07-20 浏览次数:  135 下载次数:  0
问题描述
组网:USG5300---- internet-----联想网御
组网说明: USG5300与联想网御防火墙做ipsec vpn,本案例使用联想网御配置作为基准,修改USG5300相关配置建立ipsec vpn。
告警信息
处理过程
  联想网御配置:
第一阶段

第二阶段:

基础配置:

  USG5320 基础配置:
 
acl number 3200
 description for_ipsecvpn                
 rule 20 permit ip source 10.210.196.64 0.0.0.63 destination 172.16.2.0 0.0.0.255
 
#
ike proposal 1
 encryption-algorithm 3des-cbc  (加密算法为3des-cbc)
 authentication-algorithm md5
 sa duration 28800  ( ike第一阶段生存时间和对端保一致 )             
#
ike peer 1
#
ike peer peer1
(由于两边都有固定的IP地址,所以两端设备都采用主模式)
 pre-shared-key 203915758
 ike-proposal 1
 undo version 2           (此处把ike版本降成V1,通常和友商对接都是用V1)
 remote-address 202.103.144.98
 nat traversal
#
ike peer peerq
#
ipsec proposal 1
 esp encryption-algorithm 3des   (此处用3des,和对端设备一致)
#
ipsec policy map1 10 isakmp
 security acl 3200
 ike-peer peer1
 proposal 1
 local-address 203.91.57.58 
 sa duration time-based 3600   #     (IKE第二阶段生存时间要和对端设备一致)
 
interface GigabitEthernet0/0/1
 speed 1000
 description link up to 0-C-zyzx-1
 ip address 10.210.253.241 255.255.255.248
 ip address 203.91.57.58 255.255.255.0 sub
ipsec policy map1
根因
建议与总结

在和友商设备做ipsec vpn对接,两边参数一定要保持一致。

END