De acuerdo
Empresa
Comunidad Foro Seguridad
Mira cómo solucionar pro...

Mira cómo solucionar problemas con IPSec para el USG3000

408 0 5 0
Mostrar todos los comentarios 1#

El propósito principal de esta publicación es la de conocer el proceso de solución de problemas con el protocolo IPSec cuando este es utilizado en un equipo USG3000 de Huawei, revisemos entonces como se soluciona este tipo de problemas.


Descripción del Problema.


Topología de la red:

 

Como se muestra en la Figura 1, se configura IPSec VPN entre el USG y el USG3000. Se ha utilizado IKE para negociar túneles IPSec para cifrar los datos transmitidos.

 

Figura 1.  Diagrama de red si el USG no inicia la negociación del túnel IPSec porque el USG3000 no admite IKEv2

153359a1jz1yu4gd4yhgo5.png?image.png


Síntoma:

 

El USG3000 puede iniciar la negociación IKE y establecer túneles IPSec. Los servicios son normales. El USG puede iniciar la negociación IKE pero no puede establecer túneles IPSec. Los servicios están interrumpidos.

 

Proceso de manejo del problema.

1. Cuando el USG usa una plantilla de política para negociar túneles IPSec, el USG no puede iniciar la negociación IKE. Sin embargo, en este caso, el USG puede iniciar la negociación IKE. Esto demuestra que el USG no utiliza ninguna plantilla de política para negociar túneles IPSec.

 

2. El USG admite tanto IKEv1 como IKEv2 para la negociación de túneles. Cuando el USG inicia de forma proactiva la negociación IKE, utiliza IKEv2 de forma predeterminada. Sin embargo, el USG3000 no es compatible con IKEv2. Por lo tanto, la negociación fracasa. El USG3000 admite IKEv1 solamente. Cuando el USG3000 inicia proactivamente la negociación IKE, el USG puede usar IKEv1 para responder a la negociación. Por lo tanto, la negociación tiene éxito.

 

Causa Raíz del Problema.

Cuando el USG3000 inicia proactivamente la negociación IKE, se utiliza IKEv1. El USG puede usar IKEv1 para responder a la negociación. Por lo tanto, pueden establecer un túnel IPSec. Sin embargo, cuando el USG inicia de forma proactiva la negociación IKE, el USG usa IKEv2 de forma predeterminada. Sin embargo, el USG3000 no puede responder a la negociación porque no es compatible con IKEv2. Por lo tanto, el USG y el USG3000 no logran establecer ningún túnel IPSec.

 

Solución.

 

1. En la vista del sistema de la USG, ejecute el comando ike peer peer_name para acceder a la vista de peer IKE. peer_name es el nombre del peer referenciado en la política.

 

2. En la vista de IKE peer del USG, ejecute el comando undo versión 2 para permitir que el USG inicie la negociación IKE utilizando IKEv1.


FIN


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#OneHuawei

SeguridadIPsecIKEConfiguracion
  • x
  • convención:

Útil (5) Favorito(0) Compartir Reporte
Previo: ¿Cuáles son los OID NMS de la CPU y la memoria en el USG?
Próximo: ¿Como recuperar mi contraseña de mi caja fuerte?
Volver a la lista

Comentar

Editor Avanzado
B Color Image Link Quote Code Smilies
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión
Sitio web de Huawei Soporte Acerca de Huawei Privacidad Acuerdo de usuario Términos de uso Configuración de Cookies

Copyright © 2020 Huawei Technologies Co., Ltd. Todos los derechos reservados.

APP

Comunidad Huawei Enterprise
Comunidad Huawei Enterprise
Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.