昨天用华为USG6000与天融信防火墙大战三百回合，整IPSECVPN对接，搞得自己都快要吐血了，最后终于搞定了。没想到，天融信防火墙和华为USG6000这么难配通，我来讲一下这三百回合的经过，前面297回合的IP配置、端口映射、基本配置就不详细说了，我们来讲298回合：按各厂家官方手册配置好后，发现第一阶段协商失败，检查密钥、IP地址、策略、NAT映射等，都没有发现问题，在仔细对比两边参数时发现，天融信防火墙只支持sha1身份验证算法，两端改为一致后，第一阶段终于协商成功了。

旁边的哥们说：是不是因为今天没有拜拜神的原因么？去，去，去。我们不能迷信，我们要相信科学。找了半天没找到问题，由于问起了万能的度娘，果然度娘神通广大，一位前辈也遇到过类似的问题，说是因为天融信防火墙必须要配置总部和分支的用户名，在两端添加用户名后，发现隧道果真建立好了，真是太虐人了。

你的监控是指视频监控吗？如果是的话你说的就是IP的摄像机，那么IP摄像机接入的应该是自己独立的交换机吧？不跟你的网络交换机共用一般来说，IP摄像机视频传输量很大如果是这种情况，监控用的交换机是独立的，那么在跟因特网对接的时候做好处理应该就好了吧个人觉得，只要跟因特网挂钩，就没有绝对的安全。在三层交换机上开启dhcp服务，并指向dhcp服务器ip地址！

按照您的拓扑，信息和要求，最简单的方法：把防火墙加到拓扑，路由器后面，交换机前面使用透明模式，也就是将接交换机和路由器的接口模式调成交换模式。不必多余的设置，就可以上网了。具体的设置需要看您的防火墙型号，老版本的墙需要使用TOPSEC的集中管理器,将网线接到ETH2口，默认管理IP为192.168.1.250用户名superman，密码talent新版本的墙直接使用WEB界面,

#networkinterfaceeth0switchport#networkinterfaceeth0switchportmodeaccess#networkinterfaceeth1switchport#networkinterfaceeth1switchportmodeaccess#networkvlanshow这时eth0和eth1应该在一个默认的Vlan里了。