• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

h3c f100防火墙 分支 对接深信服中心 求h3c f100 防火墙 配置ipsec

2024-04-12提问
  • 0关注
  • 0收藏,345浏览
粉丝:0人 关注:0人

问题描述:

h3c f100防火墙  分支  对接深信服中心 求h3c f100 防火墙 配置ipsec

2 个回答
粉丝:17人 关注:0人

H3C侧标准配置就行了


搞清楚2端具体组网、设备型号、软件版本以及业务需求配置就行了。建议在仔细确认下吧

暂无评论

粉丝:237人 关注:8人

本端V7防火墙作为公网出口,与对端深信服建立IPSEC

问题描述

配置完成后隧道无法建立。dis ike sa处于unknown状态。检查配置两端验证和加密算法一致。地址也配置正确。


过程分析

检查基础配置完整

# ipsec transform-set 1 

 esp encryption-algorithm aes-cbc-128 

 esp authentication-algorithm sha1 

 # ipsec policy 1 100 isakmp 

 transform-set 1

 security acl 3001

 remote-address 218.26.228.237 

 ike-profile 1 

 sa duration time-based 28800

ipsec policy 10 100 isakmp

# ike profile 1 

 keychain 1 

 dpd interval 5 on-demand 

 exchange-mode aggressive 

 local-identity fqdn sxlsj 

 match remote identity fqdn sxctc 

 proposal 1 

# ike proposal 1 

 encryption-algorithm aes-cbc-128 

 dh group2 

 sa duration 28800 

# ike keychain 1 

pre-shared-key hostname sxctc key cipher $c$3$3PPYt8wNJxkBEWyxxlg6FBXsrOPQ7LtgsdtdpMN7

查看debug信息发现有如下告错

Verify HASH payload. 

*Apr 11 14:30:22:809 2019 H3C IKE/7/PACKET: vrf = 0, src = 61.134.243.207, dst = 218.26.228.237/4500 HASH: 5724f3cf ba13da08 bd705ca0 ffbe14de 1be642c5 

*Apr 11 14:30:22:809 2019 H3C IKE/7/ERROR: vrf = 0, src = 61.134.243.207, dst = 218.26.228.237/4500 Failed to verify the peer HASH.

 *Apr 11 14:30:22:809 2019 H3C IKE/7/PACKET: vrf = 0, src = 61.134.243.207, dst = 218.26.228.237/4500 Construct notification packet: AUTHENTICATION_FAILED.

根据debug来看是因为hash验证失败,对端发过来的hash本端没办法识别匹配。

检查两端算法配置一致为何还会出现验证失败,怀疑是否因为厂商不同导致的处理有差别

解决方法

因为ike算法是公有算法,模式一致。检查发现预共享秘钥配置 为字母@数字的格式。

将@去掉,改为纯字母后,发现可以正常建立。

与深信服对接时,不论是域名fqdn还是秘钥都要以字母或者数字的形式进行对接,不要配置带有特殊符号。

对于debug的信息配置检查无误考虑不同厂商是否会有处理机制的差异。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明