15
2023
12
13:10:33

F1010防火墙对接第三方设备做ipsec VPN,ipsec sa反复删除重建

现场F1010设备对接第三方设备做ipsec VPN,野蛮模式,本端做总部,建立ipsec以后隧道在反复断开重建。

过程分析


首先,看ipsec VPN建立的两个SAipsec SA一直在反复删除重建。



排查本端ipsec配置,发现有配置ike invalid-spi-recovery enable


该功能是对比收到ipsec报文的SPI标识,如果在本端没有对应的ipsec SA,就通知对端删除ipsec SA,目前看报错现象隧道中断就是因为收到对端删除SA的通知,所以中断,该功能不建议开启,建议现场先关闭该功能进行测试。




两端都关闭该功能后发现ipsec sa还是在反复建立删除,排查两端配置,ACL对称,加密算法一致,继续收集debug ipsec分析,删除原因还是由于收到对端SA重置请求的报文。Reason: An IPsec SA deletion message was received from peer.



怀疑还是两端配置不一致导致,进一步检查配置,发现本端ipsec安全提议中使用的加密算法与对端不一致,ESP协议采用3des-cdc加密算法,采用md5的认证算法;而对端使用的ESP认证算法中多选择了一个sha2算法,导致两端协商不一致。




两端算法修改一致后ipsec建立正常,故障消失。

解决方法

ipsec VPN无法正常建立时:

   排查阶段一二是否能够正常建立

   检查两端链路是否能正常通信

   检查配置,注意ACL对称,工作模式一致,协议和算法一致,IKE版本一致


   收集debug,抓包,根据ikeipsec协商原理及过程,排查建立协商失败的原因。





推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/4707.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


作者:hqy | 分类:Network | 浏览:466 | 评论:0
« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: