#原创分享#AF第三方对接IPSEC经历

每天坚持打卡学习签到！！

打卡学习，感谢大佬分享！

项目背景：
接到销售电话AF与Cisco防火墙做IPSEC；经与客户的网络工程师沟通，双方都有固定公网IP，初步确定采用主模式对接；

防火墙部署在网络出口详细上架的配置就不再概述了，直接上IPSEC对接双方配置

AF：Ipsec第一阶段配置（实际公网IP，还是打个马赛克吧。。）




AF：第二阶段出入站策略



出站策略



Cisco防火墙配置

第二阶段ACL
出站

access-list cloudbak extended permit iphost 10.66.63.110 10.33.0.0 255.255.255.0

access-list cloudbak extended permit iphost 10.66.4.35 10.33.0.0 255.255.255.0

入站

access-list TOCW extended permit ip 10.33.0.0255.255.255.0 host 10.66.4.35

access-list TOCW extended permit ip 10.33.0.0255.255.255.0 host 10.66.4.110

双方配置已经完成，检验下结果……果然和我预想一样，隧道起不来。。。



只过滤出DLAN总部日志，貌似看不出什么信息。。。测试双方地址是可以PING通的；在AF上抓个包看看吧（排障——命令行控制台输入tcpdump -i eth2 host  IP）

AF上抓包取证用Wireshark可以看到第一阶段我方AF发出的参数

（只有AF发出的数据包，没有回包）

沟通下对方工程师吧，看看他能抓到我方数据包嘛，结果反馈不会抓包，（现在时数据包发出了，没回包，对方不会抓包，我太难了）；

那就让对方变成主动连接，让我方AF来抓取数据吧。

IPSEC第一阶段可以配置成是否主动发起连接

TCPDUMP尝试抓取对方数据，貌似半天没有结果；沟通下客户网络工程师，中间是否有安全设备？（等了半天反馈有一台友商防火墙）最终友商防火墙放开源地址到目的地址UDP500 4500 双向数据；（其实有条件最好中间安全设备抓下数据包：抓IP加端口，确认数据是否已经到达设备，且已经转发出去 ）

一番操作后隧道已经建立成功  

测试下通信已经没有问题




总结：其实第三方对接问题，双方配合起来很容易搞定的，（前提要清楚参数是否双方设备都支持）；调试时可以针对DLAN总部的告警日志信息经行针对性调试；告警信息看不出问题可以尝试双方配合抓包解决问题；