j'ai compris

Laboratoire IPSec dans eNSP

publié il y a  2021-4-27 23:32:17 310 0 0 0 0

Salut,

Lors de la configuration de l'IPSec dans l'eNSP, je rencontre des bogues, et j'aimerais partager ce cas avec vous, j'espère que cela pourra vous être utile.

La topologie est assez simple car ci-dessous, le but est d'établir le tunnel IPSec entre le routeur AR1 et FW1.

ipsec dans l'ensp

Lorsque la configuration est effectuée à la fois sur AR1 et FW1, ni le tunnel IPSec ni l'IKE SA n'ont pu s'établir correctement. En raison de l'USG6000v fournit une méthode de diagnostic simple sur l'interface graphique Web, le résultat du diagnostic s'affiche comme ci-dessous:

ipsec dans l'ensp

Aucune configuration d'échec n'est trouvée après une vérification une par une sur les deux appareils.

Ainsi, la capture de paquets est le seul choix.

Le résultat de la capture de paquet montre comme ci-dessous:

ipsec dans l'ensp

Lorsque le résultat s'affiche, le routeur AR1, 10.1.11.1, lance la négociation IKEv1. Et le premier échange de paquet rond, l'échange de proposition, est normal, et le même résultat au deuxième échange de paquet rond, l'échange de clé. Mais au cours du troisième échange de paquets, le pare-feu, 10.1.11.2, retourne un paquet d'information. Ce paquet d'information remarque le PAYLOAD-MALFORMED. Puisque ce paquet d'information est envoyé par le pare-feu dans le troisième échange de paquets, ce qui signifie que le pare-feu reçoit un paquet mal formé pendant le deuxième échange de paquets.

ipsec dans l'ensp

Vérifiez le paquet envoyé par l'AR1 lors du deuxième échange de paquets, le résultat s'affiche comme ci-dessous:

ipsec dans l'ensp

Le résultat montre que les données d'échange de clés de la charge utile sont 0, évidemment, c'est anormal.

Puisque la configuration a été revue et qu'aucune faute n'a été trouvée, je soupçonne que cette erreur est causée par le BUG eNSP. Je remplace donc le routeur AR par un autre USG6000v.

ipsec dans l'ensp

Une fois la configuration terminée, le tunnel IPSec est correctement établi et le résultat de la capture de paquets montre également la négociation de phase 1 et la négociation de phase 2 d'IKEv1

ipsec dans l'ensp

Vérifiez le deuxième paquet d'échange de paquets dans la phase 1, le résultat montre les données d'échange de clé normalement.

ipsec dans l'ensp

 


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.
Guide de Protection de L'information
Merci d'utiliser la Communauté D'assistance Huawei Enterprise ! Nous vous aiderons à savoir comment nous recueillons, utilisons, stockons et partageons vos informations personnelles et les droits que vous avez conformément à Politique de Confidentialité et Contrat D'utilisation.