De acuerdo

Introducción al proceso de negociación IKEv1 phase 2 para IPSec

144 0 0 0 0

En IKEv1 fase 2, IPSec SA se establece para la transmisión de datos. En esta fase, se utiliza el modo de intercambio rápido y se cifran las payload intercambiadas.

 

Proceso de negociación

La Figura 1 muestra el proceso de intercambio en modo rápido.

 

Figura 1 Proceso de negociación en IKEv1 fase 2


a1


Mensajes (1) y (2): Los dos mensajes se utilizan para negociar una propuesta IPSec (payload SA) y negociar el grupo de claves DH (payload KE) utilizado en la función de secreto directo perfecto (PFS). Los dos mensajes también intercambian el ID de identidad (carga de ID, que es opcional) y el valor hash para la verificación de integridad (carga AUTH).

 

IDi e IDr se incluyen en la payload del ID, y se utilizan para intercambiar el selector de tráfico. Garantizan que los flujos de datos protegidos por ambas partes sean los mismos. (Esta función es similar a la de la payload TS en IKEv2.)


a2

Mensaje (3): El iniciador envía este mensaje para verificar el valor hash y confirmar el éxito de la negociación. El formato del paquete es similar al formato del mensaje (1).


Resumen

Después de que la negociación de la fase 2 IKEv1 sea completa, ejecute el comando display ike sa para ver el establecimiento IPSec SA en la fase 2. Si La marca se muestra como RD o RD ST, las SA IPSec se establecen con éxito. El valor ST indica que el extremo local inicia la negociación SA.


a3


Si la negociación falla, el parámetro Flag en la salida del comando está vacío.

 

Las propuestas IPSec incoherentes, los algoritmos PFS y las reglas ACL en dos extremos pueden dar lugar a la falla del establecimiento IPSec SA. Los paquetes en la fase 2 se cifran, así que usted no puede marcar la configuración de la propuesta IPSec obteniendo los encabezados del paquete.

 

La información de debugging común para los parámetros IPSec incoherentes es la siguiente:

 

l  Las reglas ACL en dos extremos no hacen juego

a4


l  Las propuestas IPSec o algoritmos PFS en dos extremos son diferentes

a5


Saludos.

 

FIN

 

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.