USG2200与天融信防火墙建立IPSEC VPN对接不成功

发布时间:  2012-07-20 浏览次数:  224 下载次数:  0
问题描述
USG2210与天融信防火墙对接无法建议隧道,组网如下图:
USG2210--------INTERNET---------天融信防火墙
配置如下:
USG2210的配置:
#
acl number 3004
rule 0 permit ip source 1.1.1.1 0 destination 2.2.2.2 0
#
ike proposal 4
encryption-algorithm 3des-cbc
authentication-algorithm md5
#
ike peer tonglian
exchange-mode aggressive
pre-shared-key 123456
ike-proposal 4
undo version 2
remote-name @topsec
remote-address X.X.X.X
#
ipsec proposal 4
esp encryption-algorithm 3des
#
ipsec policy yujiacl 4 isakmp
security acl 3004
ike-peer tonglian
proposal 4
sa duration traffic-based 86400
天融信的配置:



告警信息
处理过程

一、查检配置,各个阶段的协商参数配置都一致
二、怀疑两端的算法兼容性不好,更改不同的算法都不能协商成功
三、抓包查看,由对端主动发起协商抓包,发现协商参考都一致,但是携带的对端标识并不是配置的标识,导致与我司防火墙配置的不一致,不回数据给天融信防火墙,抓包可以看到携带的标识如图:


把对端的名称和本地的名称中的@去掉以后协商成功

根因
天融信防火墙配置的本地标识和对方标识与我司防火墙不一致导致
建议与总结

有些厂商发送协商参数时,不发送名称前缀,如天融信、juniper.

END