j'ai compris

IPSec n'est pas établi et le 2e pair IKE SA n'est pas créé? Pourquoi ?

publié il y a  2020-9-21 00:16:36Dernière réponse Sep 21, 2020 00:17:44 110 1 0 0 0
  Récompense F-coins.: 0 (Résolu)

J'ai établi ipsec isakmp v2, mais pourquoi mon ipsec ne monte-t-il pas? quand je vérifie que les appareils créent un seul pair ike pourquoi il n'y a pas de 2 Ike SA?  

<AR1>display ike sa v2

    Conn-ID  Peer            VPN   Flag(s)                Phase  

  ---------------------------------------------------------------

        2    2.1.1.1         0     RD|ST                  1     


  Flag Description:

  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT

  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP

TEST



AR1


<Huawei>dis cur

[V200R003C00]

#

 snmp-agent local-engineid 800007DB03000000000000

 snmp-agent 

#

 clock timezone China-Standard-Time minus 08:00:00

#

portal local-server load flash:/portalpage.zip

#

 drop illegal-mac alarm

#

 wlan ac-global carrier id other ac id 0

#

 set cpu-usage threshold 80 restore 75

#

acl number 3101  

 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 

#

ipsec proposal R2

 esp authentication-algorithm sha2-256 

 esp encryption-algorithm aes-128

#

ike proposal 1

 encryption-algorithm aes-cbc-128

 dh group14

#

ike peer btoa v2

 pre-shared-key simple huawei123

 ike-proposal 1

 remote-address 2.1.1.1

#

ipsec policy seccon 1 isakmp

 security acl 3101

 ike-peer btoa

 proposal R2

#

aaa 

 authentication-scheme default

 authorization-scheme default

 accounting-scheme default

 domain default 

 domain default_admin 

 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$

 local-user admin service-type http

#

firewall zone Local

 priority 15

#

interface GigabitEthernet0/0/0

#

interface GigabitEthernet0/0/1

 ip address 1.1.1.1 255.255.255.0 

 ipsec policy seccon

#

interface GigabitEthernet0/0/2

 ip address 10.1.1.1 255.255.255.0 

#

interface NULL0

#

ospf 1 

 area 0.0.0.0 

  network 1.1.1.0 0.0.0.255 

  network 10.1.1.0 0.0.0.255 

#

user-interface con 0

 authentication-mode password

user-interface vty 0 4

user-interface vty 16 20

#

wlan ac

#

return


AR2


<Huawei>dis cur

[V200R003C00]

#

 snmp-agent local-engineid 800007DB03000000000000

 snmp-agent 

#

 clock timezone China-Standard-Time minus 08:00:00

#

portal local-server load flash:/portalpage.zip

#

 drop illegal-mac alarm

#

 wlan ac-global carrier id other ac id 0

#

 set cpu-usage threshold 80 restore 75

#

aaa 

 authentication-scheme default

 authorization-scheme default

 accounting-scheme default

 domain default 

 domain default_admin 

 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$

 local-user admin service-type http

#

firewall zone Local

 priority 15

#

interface GigabitEthernet0/0/0

 ip address 1.1.1.2 255.255.255.0 

#

interface GigabitEthernet0/0/1

#

interface GigabitEthernet0/0/2

 ip address 2.1.1.2 255.255.255.0 

#

interface NULL0

#

ospf 1 

 area 0.0.0.0 

  network 1.1.1.0 0.0.0.255 

  network 2.1.1.0 0.0.0.255 

#

user-interface con 0

 authentication-mode password

user-interface vty 0 4

user-interface vty 16 20

#

wlan ac

#

return


AR3



<Huawei>DIS CUR

[V200R003C00]

#

 snmp-agent local-engineid 800007DB03000000000000

 snmp-agent 

#

 clock timezone China-Standard-Time minus 08:00:00

#

portal local-server load flash:/portalpage.zip

#

 drop illegal-mac alarm

#

 wlan ac-global carrier id other ac id 0

#

 set cpu-usage threshold 80 restore 75

#

acl number 3101  

 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2 

#

ipsec proposal R1

 esp authentication-algorithm sha2-256 

 esp encryption-algorithm aes-128

#

ike proposal 1

 encryption-algorithm aes-cbc-128

 dh group14

#

ike peer atob v2

 pre-shared-key simple huawei123

 ike-proposal 1

 remote-address 1.1.1.1

#

ipsec policy seccon 1 isakmp

 security acl 3101

 ike-peer atob

 proposal R1

#

aaa 

 authentication-scheme default

 authorization-scheme default

 accounting-scheme default

 domain default 

 domain default_admin 

 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$

 local-user admin service-type http

#

firewall zone Local

 priority 15

#

interface GigabitEthernet0/0/0

#

interface GigabitEthernet0/0/1

 ip address 2.1.1.1 255.255.255.0 

 ipsec policy seccon

#

interface GigabitEthernet0/0/2

 ip address 10.1.2.1 255.255.255.0 

#

interface NULL0

#

ospf 1 

 area 0.0.0.0 

  network 2.1.1.0 0.0.0.255 

  network 10.1.2.0 0.0.0.255 

#

user-interface con 0

 authentication-mode password

user-interface vty 0 4

user-interface vty 16 20

#

wlan ac

#

return

<Huawei>  



  • x
  • Standard:

Réponses en vedette

Meilleure réponse

mariano93
publié il y a 2020-9-21 00:17:44
Salut ,
L'ACL sur R1 et R2 ne correspond pas, veuillez la modifier.
View more
  • x
  • Standard:

Toutes les réponses
mariano93
mariano93 publié il y a 2020-9-21 00:17:44
Salut ,
L'ACL sur R1 et R2 ne correspond pas, veuillez la modifier.
View more
  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.