Problème
Des tunnels IPSec ont été établis entre les FW. Une fois la sous-adresse ajoutée à l'interface de réseau public de FW1 et certaines configurations modifiées, le tunnel IPsec ne parvient pas à être établi. Les paramètres IPSec et IKE sont correctement configurés aux deux extrémités.
1. Exécutez la commande display ike sa sur FW2. La sortie de la commande montre que la SA IKE ne parvient pas à être établie.
<FW2> display ike sa
IKE SA information:
Conn-ID Peer VPN Flag (s) Phase
----------------------------------------------------------------------
83891196 1.1.1.5:500 NEG|A v2:1
Number of IKE SA: 1
----------------------------------------------------------------------
Flag Description:
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP
M--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING
2. Exécutez la commande display ike error-info sur FW2. La sortie de la commande montre que la cause de l'échec de la négociation IKE est une incompatibilité d'adresse d'homologue, ce qui indique que les adresses distantes des homologues IKE aux deux extrémités ne correspondent pas.
<FW2> display ike error-info
current info Num :1
Ike error information:
current ike Error-info number :1
-----------------------------------------------------------------------------------------
peer port error-reason version error-time
-----------------------------------------------------------------------------------------
1.1.1.5 500 peer address mismatch v2 2017-09-05 00:22
-----------------------------------------------------------------------------------------
3. Vérifiez la sous-adresse configurée pour l'interface FW1.
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.0
ip address 1.1.1.5 255.255.255.0 sub
ipsec policy map1
Cause possible
L'adresse locale de l'initiateur est différente de l'adresse homologue configurée pour le répondeur.
Procédure de manipulation
1. Exécutez la commande display ike peer [nom nom-pair] pour vérifier si les adresses IP des pairs IKE aux deux extrémités correspondent.
<FW1> display ike peer name b
------------------------------------------------
Peer name: b
IKE version: v2
VPN instance: -
Remote IP: 2.1.1.1
Authentic IP address: -
Proposal: 10
Pre-shared-key: %^%#=Q90U4SSw&~$c]YM.} !$} HWfFOm+G&i@`BW '7ETS%^
%#
Local ID type: IP
Local ID: -
Remote ID type: -
Remote ID: -
.........
------------------------------------------------
<FW2> display ike peer name b
------------------------------------------------
Peer name: a
IKE version: v2
VPN instance: -
Remote IP: 1.1.1.5
Authentic IP address: -
Proposal: 10
Pre-shared-key: %^%#.SBO>Q {o#@_BHQ/%ULL;f3%rOo4+*3fs3TI7sX\ '%^
%#
Local ID type: IP
Local ID: -
Remote ID type: -
Remote ID: -
..........
------------------------------------------------
La sortie de la commande montre que l'adresse homologue de FW2 est la sous-adresse de FW1. Dans la négociation IKE, FW1 utilise l'adresse principale de l'interface comme adresse locale par défaut, par conséquent, l'adresse locale de l'initiateur est différente de l'adresse homologue configurée sur le répondeur. en conséquence, la négociation IKE SA échoue.
2. Modifiez l'adresse IP locale de FW1.
ipsec policy map1 10 isakmp
tunnel local 1.1.1.5
Après la modification, le tunnel IPSec est correctement configuré et les PC peuvent accéder les uns aux autres.
Suggestions et résumé
En mode ISAKMP, l'adresse IP locale du tunnel IPSec n'a pas besoin d'être configurée. Pendant la négociation SA, l'adresse IP locale du tunnel IPSec est sélectionnée en fonction de l'itinéraire. Dans les situations suivantes, vous devez configurer l'adresse IP locale:
Si l'adresse IP de l'interface liée à la stratégie de sécurité n'est pas fixe ou imprévisible, exécutez la commande tunnel local ip-address pour spécifier l'adresse IP d'une autre interface (telle que l'interface de bouclage) sur le périphérique comme adresse IP locale de le tunnel IPSec, vous pouvez également exécuter la commande tunnel local applique-interface pour spécifier l'adresse IP de l'interface du tunnel IPSec comme adresse IP locale du tunnel IPSec.
Si plusieurs adresses IP (une adresse IP principale et plusieurs adresses IP secondaires) sont configurées pour l'interface liée à la stratégie IPSec, exécutez la commande tunnel local ip-address pour spécifier une adresse IP comme adresse IP locale du tunnel IPSec, vous peut également exécuter la commande tunnel local integrated-interface pour spécifier l'adresse IP principale de l'interface comme adresse IP locale du tunnel IPSec.
S'il existe des routes à coût égal entre les extrémités locale et homologue, exécutez le tunnel local {ip-address | application-interface} pour spécifier l'adresse IP locale du tunnel IPSec