组网及说明
NGFW专线ipsec主模式对接山石防火墙
HostA1----F50X0-----专线----FW山石----HostB1
| |
HostA2 HostB2
问题描述
如下ipsec策略a调用acl 3105只有rule0有ipsec sa建立成功,rule 5及10都有match匹配增加,但是一直建立不了ipsec sa,主机也无法互访
ipsec policy a 50 isakmp
security acl 3105
acl advanced 3105
rule 0 permit ip source 100.x.xx 0 destination 100.x.x.x 0
rule 5 permit ip source 172.19.x.x 0 destination 100.64.x.x 0
rule 10 permit ip source 172.x.x.x 0 destination 100.x.x.0
过程分析
现场我司ipsec建立采用的是默认标准方式的安全ACL,即一条IPsec隧道保护一条数据流,ACL中的每一个规则对应的数据流分别由一条单独创建的IPsec隧道来保护;而对端山石防火墙为 聚合方式:一条IPsec隧道保护ACL中定义的所有数据流,ACL中的所有规则对应的数据流只会由一条创建的IPsec隧道来保护,所以每个acl里多个rule规则的感兴趣流只有第一个能通。
解决方法
需要在ipsec policy里关联感兴趣流security acl后面跟上aggregation,才能对应上山石FW的聚合方式
ipsec policy a 50 isakmp
[H3C-ipsec-policy-isakmp-a-50]security acl 3105 ?
aggregation Use one tunnel to protect all data flows permitted by the ACL
per-host Use one tunnel to protect data flows between two hosts permitted by the ACL
<cr>
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作