前几天我公司与一家银行建立IPsec×××,双方使用的都是Nokia的CP。在所有配置相同的情况下,通过如下测试确认双方的隧道已经建立起来:
我方先主动测试对方业务,通讯OK;然后由对方测试我方业务,也OK。
 
可是第二天过来对方反映隧道建立不起来了。然后我从我方进行业务测试,发现隧道可以建立,我让对方再测试一下,此时对方也OK了。这就说明当隧道清除后,只有我方主动建立隧道,双方的通讯才OK。否则如果由对方先主动建立隧道,则隧道建立不起来。
 
研究了很久,发现对方有一处配置有问题:
对方在Network Objects/Check Point里的本地对象中主IP是内网ip,而不是公网ip(假如为A)。但是在此对象中的×××/Link Selection却选择了Main address。这就表明此对象的×××的link是Main address(也即那个内网ip:A),而没有与我方进行通信的那个公网ip。这样当然不能主动建立隧道。
需要如此修改:点选此对象的×××/Link Selection中的Selected address from topology,然后选择那个公网ip即可。
 
Nokia&CP建立IPsec×××有很多奇妙的地方,所以需要一点一滴的积累。