标签：天融信 H3C IPsec 对接 防火墙 数据流 总部 分支

       这场大战真是惊天动地，上回说到整个拓扑结构很简单，总部采用H3C防火墙使用模板方式，分支使用天融信设备，采用野蛮模式对接。两边设备都是直接接在公网上，前面没有NAT设备。之前已经有部分分支是使用的H3C设备对接成功了。

       第298回，天融信防火墙参照其他分支配置了参数，对接失败。首先比对两边的各种算法，确认没有错误；接着查看日志，天融信设备上日志简单，并且是分支，还是要去总部的设备上查看。在总部防火墙上开启DEBUG，发现在IKE第一阶段就协商失败，查看发现协商的时候报用户名不对，查看了天融信的配置，天融信在选择野蛮模式的情况下，必须配置总部和分支的用户名，而对应华三这边，只配置了分支的用户名，这里就可以看到不同厂家在同样的标准协议上的不同理解了。在总部添加了本地用户名后，隧道建立正常，测试完成。

       第299回，不到数日，又说隧道不通，到现场查看，原来这次换了对手，上次是防火墙，这次是上网行为管理，参数配置和防火墙一模一样。开始和上次一样，打开总部DEBUG，发现这次用户名是正确了，但是类型不一样了总部是fqdn，分支是user fqdn。而且分支还没法改，这下可就难办，总部已经接入了大量分支，修改总部参数的话就需要同步修改所有正在使用的分支配置。思考之后，决定分支改为使用IP地址协商，总部在模板里新建一个策略，用于和采用IP地址方式的分支对接。测试正常。

       第300回，仅仅第二天，问题又来了。这回现象是一次只能通一条数据流。这就很奇怪了，总部是不会对这个做限制的，随后天融信的后台技术说上网行为管理是采用在一个隧道里跑多条数据流的方式。这我就真的是第一次听到了，之前都是一个隧道跑一条数据流，多个数据流就建多个隧道。我想到的唯一办法就是把地址段扩大，把几个数据流都包括进来，但是一分析不行，会出现冲突。没有办法求助厂家工程师。还真有这样一条命令，可以实现一个隧道内跑多条数据流。security  acl   XXXX  aggregation 

        经历了300回合，总算是彻底解决了对接中的各种问题。从这个案例可以看出来，各个厂家都宣称支持标准协议，可以和第三方对接，但是实际对接中，产品研发不同的理解就会导致对接失败，特别是对协议进行的内部优化。遇到这种情况，只能是对报错逐条分析，将各项参数恢复为各大厂家都通行的方式进行测试，少见的参数要求，则必须要求助厂家工程师的支持才能解决了

标签：天融信,H3C,IPsec,对接,防火墙,数据流,总部,分支
来源： https://blog.51cto.com/648909/2569395

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。