Mira cómo solucionar problemas con IPSec para el USG3000

Publicado 2019-4-12 15:36:01 94 0 5 0

El propósito principal de esta publicación es la de conocer el proceso de solución de problemas con el protocolo IPSec cuando este es utilizado en un equipo USG3000 de Huawei, revisemos entonces como se soluciona este tipo de problemas.


Descripción del Problema.


Topología de la red:

 

Como se muestra en la Figura 1, se configura IPSec VPN entre el USG y el USG3000. Se ha utilizado IKE para negociar túneles IPSec para cifrar los datos transmitidos.

 

Figura 1.  Diagrama de red si el USG no inicia la negociación del túnel IPSec porque el USG3000 no admite IKEv2

153359a1jz1yu4gd4yhgo5.png?image.png


Síntoma:

 

El USG3000 puede iniciar la negociación IKE y establecer túneles IPSec. Los servicios son normales. El USG puede iniciar la negociación IKE pero no puede establecer túneles IPSec. Los servicios están interrumpidos.

 

Proceso de manejo del problema.

1. Cuando el USG usa una plantilla de política para negociar túneles IPSec, el USG no puede iniciar la negociación IKE. Sin embargo, en este caso, el USG puede iniciar la negociación IKE. Esto demuestra que el USG no utiliza ninguna plantilla de política para negociar túneles IPSec.

 

2. El USG admite tanto IKEv1 como IKEv2 para la negociación de túneles. Cuando el USG inicia de forma proactiva la negociación IKE, utiliza IKEv2 de forma predeterminada. Sin embargo, el USG3000 no es compatible con IKEv2. Por lo tanto, la negociación fracasa. El USG3000 admite IKEv1 solamente. Cuando el USG3000 inicia proactivamente la negociación IKE, el USG puede usar IKEv1 para responder a la negociación. Por lo tanto, la negociación tiene éxito.

 

Causa Raíz del Problema.

Cuando el USG3000 inicia proactivamente la negociación IKE, se utiliza IKEv1. El USG puede usar IKEv1 para responder a la negociación. Por lo tanto, pueden establecer un túnel IPSec. Sin embargo, cuando el USG inicia de forma proactiva la negociación IKE, el USG usa IKEv2 de forma predeterminada. Sin embargo, el USG3000 no puede responder a la negociación porque no es compatible con IKEv2. Por lo tanto, el USG y el USG3000 no logran establecer ningún túnel IPSec.

 

Solución.

 

1. En la vista del sistema de la USG, ejecute el comando ike peer peer_name para acceder a la vista de peer IKE. peer_name es el nombre del peer referenciado en la política.

 

2. En la vista de IKE peer del USG, ejecute el comando undo versión 2 para permitir que el USG inicie la negociación IKE utilizando IKEv1.


FIN


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#OneHuawei

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba