AR2200与山石防火墙对接IPSEC VPN问题

发布时间:  2016-11-08 浏览次数:  271 下载次数:  0
问题描述
设备版本及型号:华为路由器AR2200 版本号为V200R005C20SPC200
        山石防火墙型号
SG-6SG-6000-E1600

拓扑图:  AR2200------电信宽带-------山石防火墙

故障现象:两端显示IPSECVPN两个阶段都建立连接,但是无法传输数据。
处理过程

1.检查感兴趣流是否配置,检查后发现感兴趣配置正确;

2.检查NAT是否排除感兴趣流的IP地址,检查后发现已经排除;

3.检查是否有配置路由,检查后发现已经配置路由;

4.通过命令查看数据包是否发送至AR2200上,结果发现数据被AR2200丢弃


5.查看IPSEC统计,发现有认证失败的计数:


6.后经确认,华为AR路由器与山石防火墙对SHA-2算法的加密方式不通。

根因

和友商对接IPSEC VPN时存在协议的兼容性问题,需要关注协议的报文格式是否可以互相识别。
解决方案

需要输入此命令:ipsec authentication sha2 compatible enable。配置和山石相同的SHA-2算法的加密算法。

END