El túnel IPSec no se puede configurar, causando la interrupción del servicio.

Última respuesta febr. 07, 2019 10:18:22 134 1 0 0

1.Se han establecido túneles IPSec entre FWs. Después de agregar la subdirección a la interfaz de red pública de FW1 y de modificar algunas configuraciones, no se puede establecer el túnel IPsec. Los parámetros IPSec e IKE están configurados correctamente en ambos extremos.

 

Ejecute el comando display ike sa en FW2. La información de salida muestra que IKE SA falla al ser establecido. <FW2> display ike sa

IKE SA information:

Conn-ID Peer VPN Flag (s) Phase

----------------------------------------------------------------------

83891196 1.1.1.5:500 NEG|A v2:1

 

Number of IKE SA: 1

----------------------------------------------------------------------

 

Flag Description:

RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT

HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP

M--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING

 

2. Ejecute el comando display ike error-info en FW2. La información de salida muestra que la causa de la falla de negociación de IKE es una discrepancia de dirección del peer, lo que indica que las direcciones remotas de los peer de IKE en ambos extremos no coinciden. <FW2> display ike error-info

current info Num :1

Ike error information:

current ike Error-info number :1

-----------------------------------------------------------------------------------------

peer port error-reason version error-time

-----------------------------------------------------------------------------------------

1.1.1.5 500 peer address mismatch v2 2017-09-05 01:22

-----------------------------------------------------------------------------------------

3. Revise la configuración de la sub interfaz en FW1. interface GigabitEthernet0/0/1

ip address 1.1.1.1 255.255.255.0

ip address 1.1.1.5 255.255.255.0 sub

ipsec policy map1

 

Posibles Causas.

La dirección local del iniciador es diferente de la dirección de igual configurada para el respondedor.

 

Procedimiento de manejo.

 

1. Ejecute el comando display ike peer [name peer-name] para revisar cualquier dirección IP de los peers IKE de ambos lados coincidan. <FW1> display ike peer name b

------------------------------------------------

Peer name: b

IKE version: v2

VPN instance: -

Remote IP: 2.1.1.1

Authentic IP address: -

Proposal: 10

Pre-shared-key: %^%#=Q90U4SSw&~$c]YM.} !$} HWfFOm+G&i@`BW '7ETS%^

%#

Local ID type: IP

Local ID: -

Remote ID type: -

Remote ID: -

.........

------------------------------------------------

<FW2> display ike peer name b

------------------------------------------------

Peer name: a

IKE version: v2

VPN instance: -

Remote IP: 1.1.1.5

Authentic IP address: -

Proposal: 10

Pre-shared-key: %^%#.SBO>Q {o#@_BHQ/%ULL;f3%rOo4+*3fs3TI7sX\ '%^

%#

Local ID type: IP

Local ID: -

Remote ID type: -

Remote ID: -

..........

------------------------------------------------

 

La salida del comando muestra que la dirección del peer de FW2 es la subdirección de FW1. En la negociación IKE, FW1 usa la dirección principal de la interfaz como la dirección local de manera predeterminada, por lo tanto, la dirección local del iniciador es diferente de la dirección de igual configurada en el respondedor. Como resultado, la negociación IKE SA falla.

 

2. Cambie la dirección IP local de FW1

ipsec policy map1 10 isakmp

tunnel local 1.1.1.5

 

Despues de las modificaciones IPSec tunnel se configura con exico y las PCs pueden acceder a las otras

 

Recomendaciones y resumen.

 

En el modo ISAKMP, no es necesario configurar la dirección IP local del túnel IPSec. Durante la negociación de SA, la dirección IP local del túnel IPSec se selecciona según la ruta. En las siguientes situaciones, necesita configurar la dirección IP local:

Si la dirección IP de la interfaz vinculada a la política de seguridad no es fija o impredecible, ejecute el comando tunnel local ip-address para especificar la dirección IP de otra interfaz (como la interfaz de bucle invertido) en el dispositivo como la dirección IP local de En el túnel IPSec, también puede ejecutar el comando de interfaz aplicada local del túnel para especificar la dirección IP de la interfaz del túnel IPSec como la dirección IP local del túnel IPSec.

Si se configuran varias direcciones IP (una dirección IP primaria y varias direcciones IP secundarias) para la interfaz vinculada a la política IPSec, ejecute el comando de dirección IP local del túnel para especificar una dirección IP como la dirección IP local del túnel IPSec, también puede ejecutar el comando de interfaz local aplicada del túnel para especificar la dirección IP primaria de la interfaz como la dirección IP local del túnel IPSec.

Si existen rutas de igual costo entre los extremos local y de igual, ejecute el túnel local {ip-address | comando Interfaz aplicada} para especificar la dirección IP local del túnel IPSec.

 

 


  • x
  • convención:

Gustavo.HdezF
Moderador Publicado 2019-2-7 10:18:22 Útil(0) Útil(0)
Gracias por compartir esta información. Saludos.
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje