昨天用华为USG6000与天融信防火墙大战三百回合，整IPSECVPN对接，搞得自己都快要吐血了，最后终于搞定了。没想到，天融信防火墙和华为USG6000这么难配通，我来讲一下这三百回合的经过，前面297回合的IP配置、端口映射、基本配置就不详细说了，我们来讲298回合：按各厂家官方手册配置好后，发现第一阶段协商失败，检查密钥、IP地址、策略、NAT映射等，都没有发现问题，在仔细对比两边参数时发现，天融信防火墙只支持sha1身份验证算法，两端改为一致后，第一阶段终于协商成功了。

旁边的哥们说：是不是因为今天没有拜拜神的原因么？去，去，去。我们不能迷信，我们要相信科学。找了半天没找到问题，由于问起了万能的度娘，果然度娘神通广大，一位前辈也遇到过类似的问题，说是因为天融信防火墙必须要配置总部和分支的用户名，在两端添加用户名后，发现隧道果真建立好了，真是太虐人了。

1.方案1――基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：Switch#configterminal＃进入配置模式Switch(config)#Interfacefastethernet0/1＃进入具体端口配置模式Switch(configif)#Switchportportsecruity＃配置端口安全模式Switch(configif)switchportportsecuritymacaddressMAC(主机的MAC地址)＃配置该端口要绑定的主机的MAC地址Switch(configif)noswitchportportsecuritymacaddressMAC(主机的MAC地址)＃删除绑定主机的MAC地址。

分两种情况：1、如果你的服务器用的是内网的私有地址，这时候在原来配置规则下，需要再加一条目的地址转换，让外网的用户访问你们单位的服务器的时候，首先是访问防火墙的外网口的IP地址及服务的端口，然后把外网口目的地址和端口号映射到你服务器的IP地址和端口号，这个在目的地址里可以设置。2、如果你的服务器用的公网的IP，你可以在路由设置中添加一条主机路由，即掩码是255.255.255.255，当然这个是从外网到内网的。

天融信防火墙重置密码的原因可能是因为管理员忘记了密码，或者是管理员离职后没有将密码交接给新的管理员，或者是防火墙密码被恶意攻击者更改等原因。当管理员需要对防火墙进行管理维护时，如果无法登录防火墙管理界面，就需要重置防火墙密码，重置天融信防火墙密码的步骤如下：1.使用网线连接电脑和天融信防火墙设备2.在电脑上打开浏览器，输入防火墙管理地址3.输入默认的用户名和密码（用户名为admin，密码为admin）4.进入防火墙管理界面，找到“系统设置”选项，点击“重置用户密码”5.在弹出的窗口中输入新的密码并确认6.重置完成后，使用新密码重新登录防火墙管理界面需要注意的是，重置防火墙密码会导致原有的配置信息全部丢失，因此在进行密码重置前一定要备份好原有的配置文件，并在重置后将备份的配置文件重新导入到防火墙设备中。