USG5120 IPSEC VPN与启明星辰对接

发布时间:  2014-09-11 浏览次数:  528 下载次数:  0
问题描述
1.USG5120与启明星辰防火墙进行IPSEC VPN对接启用类型为L2L。
2.IKE1阶段1和IKE2的加密算法为ESP DES,认证算法为ESP SHA1.DH组为2,SA时间为86400,封闭类型为隧道,各参数均与启明星辰VPN参数都一致,但是IKE阶段1都不能建立成功。
告警信息
DT-WKS-USG5100 %%01IKE/4/WARNING(l): phase1: cannot find matching ike peer configuration for peer 10.10.10.177,please check "remote-address" and "exchange-mode" in ike peer configuration.
此处为DEBUG信息。

处理过程
根据以上DEBUG信息,增加配置:remote-address authentication-address 10.10.10.177后,IKE阶段1建立成功,随后发现阶段2不能正常建立,通过查看配置发现USG5120配置了PFS组,而在启明星辰设备中没有此PFS组的配置信息,将PFS删除后,IKE阶段2也成功的建立成功,IPSEC VPN隧道也成功建立,并且各业务测试正常。
根因
以上DEBUG信息为没有找到匹配的IKE对等体10.10.10.177,请检查远端地址,或者改变对端交换模式,根据DEBUG信息做了以下的配置
建议与总结
1.与启明星辰防火墙进行对接一定要注意配置远端地址认证,这样阶段1才能够正常建立(此配置在IPSEC VPN配置中是可选配置不是必选 配置,请注意)。
2.启明星辰防火墙不支持PFS组功能,IPSEC vpn功能不完善,所以再与启明星辰防火墙做IPSEC VPN做对接的时候需要注意此点。另CISCO,H3C等厂家支持PFS组功能。

END