j'ai compris

Comment puis-je vérifier la raison de l'échec de la négociation IPSec SA sur le pare-feu?

publié il y a  2021-4-28 00:28:54 150 0 0 0 0

L'échec de la négociation IPSec SA est l'un des principaux problèmes liés aux erreurs IPSec. Cet article décrit comment 

            dépanner les échecs de négociation IPSec SA.

Le contexte

            Une fois IPSec déployé entre les pare-feu, les PC ne peuvent pas communiquer entre eux.

            

            Réseau IPSec

            Exécutez la commande display ike sa sur FW1, en constatant qu'aucune association de sécurité IPSec n'est établie. Cela se traduit par un 

            échec de l'établissement d'un tunnel IPSec.

            Exécutez la commande  display ike error-info  pour vérifier la raison de l'échec de la négociation IPSec SA 

            localisation du défaut ou effectuez les étapes suivantes pour localiser le défaut.

            

Procédure

            1. Vérifiez si les configurations ACL aux deux extrémités correspondent.

                Exécutez la commande display ipsec policy pour vérifier le numéro ACL référencé par IPSec, puis 

                exécutez la commande display acl acl-number pour vérifier si les règles ACL des deux extrémités correspondent.

            2. Vérifiez si les configurations de proposition IPSec aux deux extrémités sont cohérentes.

                Exécutez la commande display ipsec proposal pour vérifier si les protocoles de sécurité, le chiffrement 

                les algorithmes, les algorithmes d'authentification et les modes d'encapsulation aux deux extrémités sont cohérents. Si 

                non, changez-les pour être cohérents.

            3. Pour IKEv1, vérifiez si les configurations PFS aux deux extrémités sont cohérentes.

                Exécutez la commande display ipsec policy pour vérifier l'algorithme PFS. Assurez-vous que les algorithmes PFS aux deux extrémités sont cohérents.

            4. Si le problème persiste, collectez des informations et contactez le personnel d'assistance technique.


Pour plus de détails, consultez le  guide de dépannage des modules USG6000E, USG6000, USG9500 et NGFW .


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.
Guide de Protection de L'information
Merci d'utiliser la Communauté D'assistance Huawei Enterprise ! Nous vous aiderons à savoir comment nous recueillons, utilisons, stockons et partageons vos informations personnelles et les droits que vous avez conformément à Politique de Confidentialité et Contrat D'utilisation.