Salut,
Lors de la configuration de l'IPSec dans l'eNSP, je rencontre des bogues, et j'aimerais partager ce cas avec vous, j'espère que cela pourra vous être utile.
La topologie est assez simple car ci-dessous, le but est d'établir le tunnel IPSec entre le routeur AR1 et FW1.
Lorsque la configuration est effectuée à la fois sur AR1 et FW1, ni le tunnel IPSec ni l'IKE SA n'ont pu s'établir correctement. En raison de l'USG6000v fournit une méthode de diagnostic simple sur l'interface graphique Web, le résultat du diagnostic s'affiche comme ci-dessous:
Aucune configuration d'échec n'est trouvée après une vérification une par une sur les deux appareils.
Ainsi, la capture de paquets est le seul choix.
Le résultat de la capture de paquet montre comme ci-dessous:
Lorsque le résultat s'affiche, le routeur AR1, 10.1.11.1, lance la négociation IKEv1. Et le premier échange de paquet rond, l'échange de proposition, est normal, et le même résultat au deuxième échange de paquet rond, l'échange de clé. Mais au cours du troisième échange de paquets, le pare-feu, 10.1.11.2, retourne un paquet d'information. Ce paquet d'information remarque le PAYLOAD-MALFORMED. Puisque ce paquet d'information est envoyé par le pare-feu dans le troisième échange de paquets, ce qui signifie que le pare-feu reçoit un paquet mal formé pendant le deuxième échange de paquets.
Vérifiez le paquet envoyé par l'AR1 lors du deuxième échange de paquets, le résultat s'affiche comme ci-dessous:
Le résultat montre que les données d'échange de clés de la charge utile sont 0, évidemment, c'est anormal.
Puisque la configuration a été revue et qu'aucune faute n'a été trouvée, je soupçonne que cette erreur est causée par le BUG eNSP. Je remplace donc le routeur AR par un autre USG6000v.
Une fois la configuration terminée, le tunnel IPSec est correctement établi et le résultat de la capture de paquets montre également la négociation de phase 1 et la négociation de phase 2 d'IKEv1
Vérifiez le deuxième paquet d'échange de paquets dans la phase 1, le résultat montre les données d'échange de clé normalement.