El propósito principal de esta publicación es la de conocer el proceso de solución de problemas con el protocolo IPSec cuando este es utilizado en un equipo USG3000 de Huawei, revisemos entonces como se soluciona este tipo de problemas.
Descripción del Problema.
Topología de la red:
Como se muestra en la Figura 1, se configura IPSec VPN entre el USG y el USG3000. Se ha utilizado IKE para negociar túneles IPSec para cifrar los datos transmitidos.
Figura 1. Diagrama de red si el USG no inicia la negociación del túnel IPSec porque el USG3000 no admite IKEv2
Síntoma:
El USG3000 puede iniciar la negociación IKE y establecer túneles IPSec. Los servicios son normales. El USG puede iniciar la negociación IKE pero no puede establecer túneles IPSec. Los servicios están interrumpidos.
Proceso de manejo del problema.
1. Cuando el USG usa una plantilla de política para negociar túneles IPSec, el USG no puede iniciar la negociación IKE. Sin embargo, en este caso, el USG puede iniciar la negociación IKE. Esto demuestra que el USG no utiliza ninguna plantilla de política para negociar túneles IPSec.
2. El USG admite tanto IKEv1 como IKEv2 para la negociación de túneles. Cuando el USG inicia de forma proactiva la negociación IKE, utiliza IKEv2 de forma predeterminada. Sin embargo, el USG3000 no es compatible con IKEv2. Por lo tanto, la negociación fracasa. El USG3000 admite IKEv1 solamente. Cuando el USG3000 inicia proactivamente la negociación IKE, el USG puede usar IKEv1 para responder a la negociación. Por lo tanto, la negociación tiene éxito.
Causa Raíz del Problema.
Cuando el USG3000 inicia proactivamente la negociación IKE, se utiliza IKEv1. El USG puede usar IKEv1 para responder a la negociación. Por lo tanto, pueden establecer un túnel IPSec. Sin embargo, cuando el USG inicia de forma proactiva la negociación IKE, el USG usa IKEv2 de forma predeterminada. Sin embargo, el USG3000 no puede responder a la negociación porque no es compatible con IKEv2. Por lo tanto, el USG y el USG3000 no logran establecer ningún túnel IPSec.
Solución.
1. En la vista del sistema de la USG, ejecute el comando ike peer peer_name para acceder a la vista de peer IKE. peer_name es el nombre del peer referenciado en la política.
2. En la vista de IKE peer del USG, ejecute el comando undo versión 2 para permitir que el USG inicie la negociación IKE utilizando IKEv1.
FIN
Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums
#OneHuawei
