Se estable un tunel de IPSec encapsulando el trafico saliente sin embargo el trafico entrante no se desencapsula.

160 0 0 0

Se establece un túnel de IPSec el trafico saliente se encapsula sin embargo el trafico entrante no se desencapsula.


Descripcion del Problema.

Se establece una VPN IPSec entre un router Huawei y un equipo Cisco ASA.


Se observa el establecimiento de IPsec SA y el tráfico saliente está encapsulado, sin embargo, el tráfico entrante se recibe pero no se desencapsula. Abajo un ejemplo del establecimiento del túnel VPN IPSec

Connection ID     : 4

Encapsulation mode: Tunnel

Tunnel local      : x.x.x.x

Tunnel remote     : x.x.x.x

Flow source       : x.x.x.x/255.255.255.0 0/0

Flow destination  : x.x.x.x/255.255.255.0 0/0

Qos pre-classify  : Disable

Qos group         : -

 

[Outbound ESP SAs]

SPI: xxxxxxx(xxxxxxxx)

Proposal: ESP-ENCRYPT-AES-256 SHA2-256-128

SA remaining key duration (bytes/sec): 1887426468/3355

Outpacket count       : 123

Outpacket encap count : 123

Outpacket drop count  : 0

Max sent sequence-number: 123

UDP encapsulation used for NAT traversal: N

 

[Inbound ESP SAs]

SPI: xxxxxxx(xxxxxxxx)

Proposal: ESP-ENCRYPT-AES-256 SHA2-256-128

SA remaining key duration (bytes/sec): 1887436800/3355

Inpacket count        : 49

Inpacket decap count  : 0

Inpacket drop count   : 0

Max received sequence-number: 0

Anti-replay window size: 32

UDP encapsulation used for NAT traversal: N


Solución.

Cuando el protocolo IPSec usa el algoritmo SHA-2 y el dispositivo en el extremo remoto del túnel IPSec es un dispositivo de Cisco, Ud. debe configurar este comando en el dispositivo Huawei. Si el comando no está configurado en el dispositivo Huawei, la transmisión del servicio se interrumpirá.


Precauciones

Cuando el protocolo IPSec usa el algoritmo SHA-2 y el dispositivo Huawei tiene instalado la versión de software V200R005C00, se debe configurar el siguiente comando para asegurar el correcto funcionamiento del tunel VPN IPsec:


Ejemplo:

# Configure el dispositivo para utilizar el mismo modo de encapsulación / desencapsulación SHA-2 que en un dispositivo Cisco.

<Huawei> system-view

[Huawei] ipsec authentication sha2 compatible enable


FIN

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#OneHuawei


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión