L'échec de la négociation IPSec SA est l'un des principaux problèmes liés aux erreurs IPSec. Cet article décrit comment
dépanner les échecs de négociation IPSec SA.
Le contexte
Une fois IPSec déployé entre les pare-feu, les PC ne peuvent pas communiquer entre eux.
Exécutez la commande display ike sa sur FW1, en constatant qu'aucune association de sécurité IPSec n'est établie. Cela se traduit par un
échec de l'établissement d'un tunnel IPSec.
Exécutez la commande display ike error-info pour vérifier la raison de l'échec de la négociation IPSec SA
localisation du défaut ou effectuez les étapes suivantes pour localiser le défaut.
Procédure
1. Vérifiez si les configurations ACL aux deux extrémités correspondent.
Exécutez la commande display ipsec policy pour vérifier le numéro ACL référencé par IPSec, puis
exécutez la commande display acl acl-number pour vérifier si les règles ACL des deux extrémités correspondent.
2. Vérifiez si les configurations de proposition IPSec aux deux extrémités sont cohérentes.
Exécutez la commande display ipsec proposal pour vérifier si les protocoles de sécurité, le chiffrement
les algorithmes, les algorithmes d'authentification et les modes d'encapsulation aux deux extrémités sont cohérents. Si
non, changez-les pour être cohérents.
3. Pour IKEv1, vérifiez si les configurations PFS aux deux extrémités sont cohérentes.
Exécutez la commande display ipsec policy pour vérifier l'algorithme PFS. Assurez-vous que les algorithmes PFS aux deux extrémités sont cohérents.
4. Si le problème persiste, collectez des informations et contactez le personnel d'assistance technique.
Pour plus de détails, consultez le guide de dépannage des modules USG6000E, USG6000, USG9500 et NGFW .