山石防火墙

<h1>山石防火墙界面配置</h1> <p><img src="https://www.showdoc.com.cn/server/api/attachment/visitFile?sign=5a70d846be0af6229d7665d1897d5f0d&amp;amp;file=file.png" alt="" /> <img src="https://www.showdoc.com.cn/server/api/attachment/visitFile?sign=bf389128d22ab2eb02f2237a80816644&amp;amp;file=file.png" alt="" /> <img src="https://www.showdoc.com.cn/server/api/attachment/visitFile?sign=27b556e999ba7da8ad8e2f39cdc520d9&amp;amp;file=file.png" alt="" /> <img src="https://www.showdoc.com.cn/server/api/attachment/visitFile?sign=0e59630ee45dd9042e46028960975c8e&amp;amp;file=file.png" alt="" /></p> <h2>常见问题</h2> <h4>1、多条第二阶段数据流，只能协商起来一个</h4> <p>问题原因：山石默认使用聚合SA模式，会把所有的感兴趣数据流聚合在一个SA中。 思科采用ACL分散匹配SA模式，每个网段都会单独建立SA，例如思科本地有2个网段，山石有3个网段，那么思科需要建立2*3也就是6个SA，每个SA一个网段。 所以默认情况下山石和思科只能建立一个Ipsec vpn SA，导致ASA侧只有一个网段可以通山石。 解决方案： a、在山石上输入check-id命令，将山石的聚合SA模式改为分组SA模式（只能命令行下输入，web无这个属性修改地方） 注：这个非本端去操作，只是提供思路，建议找对端工程师和对端说明这种情况。 b、本端如果是高版本，可以将多个网段写在同一个策略里面，dlan6.2.3之后的版本在控制台界面上提供了聚合SA的配置开关，开启即可。 <img src="https://www.showdoc.com.cn/server/api/attachment/visitFile?sign=d92f946b12b0804137adea986e1b119c&amp;amp;file=file.png" alt="" /></p>