Dudas y fallas recurrentes al configurar IPSec en Routers AR Huawei Destacado

47 0 0 0

Como sabemos configurar IPSec muchas veces no puede ser sencillo, por lo cual, siempre surgen dudas y hay algunas fallas recurrentes que cometemos al configurar los equipos, a continuación listo algunas de las más comunes que se llegan a presentar.

 

La comunicación de la red privada falla después de configurar IPSec. ¿Cuáles son las causas?

 

Las redes privadas no se comunican entre sí después de configurar IPSec. Las posibles causas son las siguientes:

l  Las direcciones públicas de dos dispositivos habilitados para IPSec no pueden hacer ping entre sí.

l  El flujo de datos definido para la encapsulación IPSec es el mismo que el definido para NAT. Puede ejecutar el comando display acl all para ver la regla de ACL correspondiente. En este caso, utilice uno de los siguientes métodos para evitar la superposición del flujo de datos:

n  Asegúrese de que la dirección IP de destino en la regla ACL referenciada por IPSec esté denegada en la regla ACL referenciada *****AT. Al hacerlo, el dispositivo no realiza NAT en el flujo de datos protegido por IPSec.

n  La regla ACL a la que hace referencia IPSec coincide con la dirección IP traducida *****AT.

l  El dispositi****prende incorrectamente las rutas privadas. La interfaz de salida a la red privada de destino no es la interfaz de red pública con IPSec habilitado.

l  Cuando el algoritmo de autenticación utilizado en una propuesta de IPSec es SHA2, los métodos de cifrado y descifrado en ambos extremos son inconsistentes.

 

¿Cómo rectifico la falla al ver la información de SA ejecutando el comando display ipsec sa después de configurar IPSec?

 

Para corregir el fallo, realice las siguientes operaciones:

 

1.         Realice la operación de ping para verificar la conectividad de la red pública.

2.         Si el túnel IPSec se establece a través de la negociación IKE, ejecute el comando display ike sa para verificar si IKE SA se ha establecido correctamente.

3.         Espere unos 10 segundos y vuelva a ejecutar el comando display ipsec sa.

4.         Ejecute el comando display interface brief para verificar que la interfaz vinculada a la política IPSec esté en estado Up.

5.         Verifique que IPSec esté configurado correctamente.

 

IPSec no tiene efecto cuando tanto IPSec como NAT están configurados en una interfaz de dispositivo. ¿Cómo se resuelve este problema?

 

Si NAT está configurado en una interfaz a la que se aplica una política IPSec, es posible que IPSec no tenga efecto. Puede utilizar los siguientes métodos:

l  Configure la dirección IP de destino que coincida con la cláusula de denegación en una ACL referenciada *****AT como la dirección IP de destino en una ACL referenciada por IPSec. En este caso, los flujos de datos protegidos por IPSec no son traducidos *****AT.

l  Configure la regla ACL a la que hace referencia NAT para que coincida con la dirección IP traducida *****AT.

NOTA:

Después de configurar una regla de denegación en NAT, se recomienda que ejecute el comando reset session all o reset nat session all para eliminar las entradas de NAT incorrectas.

 

¿Por qué no se puede establecer un túnel IPSec hasta que se reinicie?

 

Cuando es necesario enviar el mismo tráfico a la sede central, pero existe un túnel IPSec entre la sucursal y la sede central para proteger el tráfico de acceso de los usuarios existentes, no se puede establecer un nuevo túnel IPSec antes de que el antiguo túnel IPSec se desmonte después de reiniciarse en el dispositivo de la sede.

 

Para resolver el problema, ejecute el comando ipsec remote traffic-identical accept para permitir que los nuevos usuarios con la misma regla IPSec accedan rápidamente a la sede. Esta función envejece rápidamente una SA de IPSec existente entre la sucursal y la sede para restablecer un nuevo túnel de IPSec.

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba