j'ai compris

Le tunnel IPSec ne parvient pas à être configuré, provoquant une interruption de service.

publié il y a  2020-4-28 15:46:59 60 0 0 0 0

Problème


Des tunnels IPSec ont été établis entre les FW. Une fois la sous-adresse ajoutée à l'interface de réseau public de FW1 et certaines configurations modifiées, le tunnel IPsec ne parvient pas à être établi. Les paramètres IPSec et IKE sont correctement configurés aux deux extrémités.


1. Exécutez la commande display ike sa sur FW2. La sortie de la commande montre que la SA IKE ne parvient pas à être établie.


<FW2> display ike sa

IKE SA information:

Conn-ID Peer VPN Flag (s) Phase

----------------------------------------------------------------------

83891196 1.1.1.5:500 NEG|A v2:1

Number of IKE SA: 1

----------------------------------------------------------------------


Flag Description:

RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT

HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP

M--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING


2. Exécutez la commande display ike error-info sur FW2. La sortie de la commande montre que la cause de l'échec de la négociation IKE est une incompatibilité d'adresse d'homologue, ce qui indique que les adresses distantes des homologues IKE aux deux extrémités ne correspondent pas.


<FW2> display ike error-info

current info Num :1

Ike error information:

current ike Error-info number :1

-----------------------------------------------------------------------------------------

peer port error-reason version error-time

-----------------------------------------------------------------------------------------

1.1.1.5 500 peer address mismatch v2 2017-09-05 00:22

-----------------------------------------------------------------------------------------


3. Vérifiez la sous-adresse configurée pour l'interface FW1.

interface GigabitEthernet0/0/1

ip address 1.1.1.1 255.255.255.0

ip address 1.1.1.5 255.255.255.0 sub

ipsec policy map1


Cause possible


L'adresse locale de l'initiateur est différente de l'adresse homologue configurée pour le répondeur.



Procédure de manipulation


1. Exécutez la commande display ike peer [nom nom-pair] pour vérifier si les adresses IP des pairs IKE aux deux extrémités correspondent.


<FW1> display ike peer name b

------------------------------------------------

Peer name: b

IKE version: v2

VPN instance: -

Remote IP: 2.1.1.1

Authentic IP address: -

Proposal: 10

Pre-shared-key: %^%#=Q90U4SSw&~$c]YM.} !$} HWfFOm+G&i@`BW '7ETS%^

%#

Local ID type: IP

Local ID: -

Remote ID type: -

Remote ID: -

.........

------------------------------------------------

<FW2> display ike peer name b

------------------------------------------------

Peer name: a

IKE version: v2

VPN instance: -

Remote IP: 1.1.1.5

Authentic IP address: -

Proposal: 10

Pre-shared-key: %^%#.SBO>Q {o#@_BHQ/%ULL;f3%rOo4+*3fs3TI7sX\ '%^

%#

Local ID type: IP

Local ID: -

Remote ID type: -

Remote ID: -

..........

------------------------------------------------


La sortie de la commande montre que l'adresse homologue de FW2 est la sous-adresse de FW1. Dans la négociation IKE, FW1 utilise l'adresse principale de l'interface comme adresse locale par défaut, par conséquent, l'adresse locale de l'initiateur est différente de l'adresse homologue configurée sur le répondeur. en conséquence, la négociation IKE SA échoue.



2. Modifiez l'adresse IP locale de FW1.

ipsec policy map1 10 isakmp

tunnel local 1.1.1.5

Après la modification, le tunnel IPSec est correctement configuré et les PC peuvent accéder les uns aux autres.


Suggestions et résumé


En mode ISAKMP, l'adresse IP locale du tunnel IPSec n'a pas besoin d'être configurée. Pendant la négociation SA, l'adresse IP locale du tunnel IPSec est sélectionnée en fonction de l'itinéraire. Dans les situations suivantes, vous devez configurer l'adresse IP locale:


Si l'adresse IP de l'interface liée à la stratégie de sécurité n'est pas fixe ou imprévisible, exécutez la commande tunnel local ip-address pour spécifier l'adresse IP d'une autre interface (telle que l'interface de bouclage) sur le périphérique comme adresse IP locale de le tunnel IPSec, vous pouvez également exécuter la commande tunnel local applique-interface pour spécifier l'adresse IP de l'interface du tunnel IPSec comme adresse IP locale du tunnel IPSec.


Si plusieurs adresses IP (une adresse IP principale et plusieurs adresses IP secondaires) sont configurées pour l'interface liée à la stratégie IPSec, exécutez la commande tunnel local ip-address pour spécifier une adresse IP comme adresse IP locale du tunnel IPSec, vous peut également exécuter la commande tunnel local integrated-interface pour spécifier l'adresse IP principale de l'interface comme adresse IP locale du tunnel IPSec.


S'il existe des routes à coût égal entre les extrémités locale et homologue, exécutez le tunnel local {ip-address | application-interface} pour spécifier l'adresse IP locale du tunnel IPSec


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.