11
2024
04
15:22:26

NetEngine AR V300R022 配置指南-VPN(命令行)

https://support.huawei.com/enterprise/zh/doc/EDOC1100271739/9b86a2a7


IPSec SA协商失败

故障现象

IPSec业务不通时,执行命令display ike sa,发现IPSec SA没有协商成功。

IPSec SA协商成功的显示信息请参见下面加粗内容。其中Flag参数为RDRD|ST表示SA已建立成功,ST表示本端是IKE协商发起方。

    Conn-ID  Peer            VPN   Flag(s)                Phase                 
  ---------------------------------------------------------------               
    13118    10.1.3.2        0     RD                     v1:2  
    12390    10.1.3.2        0     RD                     v1:1

   Number of IKE SA : 2
  ---------------------------------------------------------------
         
  Flag Description:    
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP
  M--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING

IKE SA协商成功,但IPSec SA协商失败时,第二阶段的显示信息未显示或Flag参数为空。

操作步骤

  1. 执行命令display ipsec proposal,查看IKE对等体间的IPSec安全提议是否一致。


    如果配置不一致,请配置一致。例如检查发现ESP协议采用的认证算法不一致。

    IKE协商的发起方:

    ipsec proposal prop1
 esp authentication-algorithm sha2-512

    IKE协商的响应方:

    ipsec proposal prop2
 esp authentication-algorithm sha2-384


  2. 执行命令display ipsec policy,查看IPSec安全策略视图下的配置是否有遗漏或配置错误。


    • 检查IPSec安全策略中引用的ACL是否一致。

      当IPSec隧道两端的ACL规则镜像配置时,任意一方发起协商都能保证SA成功建立;当IPSec隧道两端的ACL规则非镜像配置时,只有发起方的ACL规则定义的范围是响应方的子集时,SA才能成功建立。因此,建议IPSec隧道两端配置的ACL规则互为镜像,即一端配置的ACL规则的源地址和目的地址分别为另一端配置的ACL规则的目的地址和源地址。

      例如IKE协商的发起方源/目的地址为10.1.1.2/10.2.1.2,IKE协商的响应方源/目的地址为10.2.1.2/10.1.1.2。

      IKE协商的发起方:

      acl number 3101
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.2.1.0 0.0.0.255
      ipsec policy map1 10 isakmp
 security acl 3101

      IKE协商的响应方:

      acl number 3101
 rule 5 permit ip source 10.2.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
      ipsec policy map2 10 isakmp
 security acl 3101

    • 检查IPSec安全策略中引用的IKE对等体中内容是否一致。

      例如IKE协商的发起方的引用的IKE对等体为spub

      ipsec policy map1 10 isakmp
 ike-peer spub

      其IKE对等体的相关配置。

      ike peer spub version 1 pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%#   //密钥为YsHsjx_202206
 ike-proposal 4
 remote-address 2.1.1.1

      如果两端的IKE对等体内容不一致,则请配置一致。

    • 检查IPSec安全策略中引用的IPSec安全提议中内容是否一致。

      例如IKE协商的发起方的引用的IPSec安全提议为tran1

      ipsec policy policy1 100 isakmp
 proposal tran1

      其IPSec安全提议的相关配置。

      ipsec proposal tran1
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-128

      如果两端引用的IPSec安全提议内容不一致,则请配置一致。




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/5753.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


作者:hqy | 分类:Network | 浏览:250 | 评论:0
« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: