山石防火墙
<h1>山石防火墙界面配置</h1>
<p><img src="https://www.showdoc.com.cn/server/api/attachment/visitFile?sign=5a70d846be0af6229d7665d1897d5f0d&amp;file=file.png" alt="" />
<img src="https://www.showdoc.com.cn/server/api/attachment/visitFile?sign=bf389128d22ab2eb02f2237a80816644&amp;file=file.png" alt="" />
<img src="https://www.showdoc.com.cn/server/api/attachment/visitFile?sign=27b556e999ba7da8ad8e2f39cdc520d9&amp;file=file.png" alt="" />
<img src="https://www.showdoc.com.cn/server/api/attachment/visitFile?sign=0e59630ee45dd9042e46028960975c8e&amp;file=file.png" alt="" /></p>
<h2>常见问题</h2>
<h4>1、多条第二阶段数据流,只能协商起来一个</h4>
<p>问题原因:山石默认使用聚合SA模式,会把所有的感兴趣数据流聚合在一个SA中。
思科采用ACL分散匹配SA模式,每个网段都会单独建立SA,例如思科本地有2个网段,山石有3个网段,那么思科需要建立2*3也就是6个SA,每个SA一个网段。
所以默认情况下山石和思科只能建立一个Ipsec vpn SA,导致ASA侧只有一个网段可以通山石。
解决方案:
a、在山石上输入check-id命令,将山石的聚合SA模式改为分组SA模式(只能命令行下输入,web无这个属性修改地方)
注:这个非本端去操作,只是提供思路,建议找对端工程师和对端说明这种情况。
b、本端如果是高版本,可以将多个网段写在同一个策略里面,dlan6.2.3之后的版本在控制台界面上提供了聚合SA的配置开关,开启即可。
<img src="https://www.showdoc.com.cn/server/api/attachment/visitFile?sign=d92f946b12b0804137adea986e1b119c&amp;file=file.png" alt="" /></p>