Описание проблемы
Клиент оставил отзыв и сказал, что он попытался подключить планшет 3G к USG6600 через туннель L2TP/IPSec, но не получилось. И у клиента уже был случай, когда 40 планшетов Samsung были удачно подключены, но при подключении планшетов Huawei к USG6600 они не могут работать с версией USG6600 - V100R001C30SPC600.
Аварийная информация
Отсутствие
Процесс обработки
Потому что планшеты других брендов могут подключиться нормально, поэтому проблема может быть с ipsec или l2tp, после отладки и исправки параметров было обнаружено, что это проблема с совместимостью терминалов, некоторые устройства андроида не могут работать с алгоритмом sha2.
Корневая причина
Некоторые устройства андроида не могут работать с алгоритмом sha2.
Решение
Изменение параметров алгоритма ipsec.
|
До изменения: |
После изменения |
|
ike proposal 1 |
ike proposal 1 |
|
authentication-algorithm sha2-256 |
encryption-algorithm aes-256 aes-192 aes-128 3des des |
|
integrity-algorithm aes-xcbc-96 hmac-sha2-256 |
dh group2 group1 |
|
# |
authentication-algorithm sha1 md5 |
|
ike peer /qa |
integrity-algorithm aes-xcbc-96 hmac-sha1-96 hmac-md5-96 |
|
# |
# |
|
ike peer /qa |
ike peer /qa |
|
exchange-mode aggressive |
# |
|
# |
ike peer /qa |
|
ike peer ike16322812552 |
exchange-mode aggressive |
|
exchange-mode auto |
# |
|
pre-shared key %$%$c6M3B;U6{=_hf(I/yvT+[I@7%$%$ |
ike peer ike16322812552 |
|
ike negotiate compatible |
exchange-mode auto |
|
ike-proposal 1 |
pre-shared-key %$%$c6M3B;U6{=_hf(I/yvT+[I@7%$%$ |
|
remote-id-type none |
ike-proposal 1 |
|
# |
remote-id-type none |
|
ipsec proposal prop16322812552 |
# |
|
encapsulation-mode auto |
ipsec proposal prop16322812552 |
|
esp authentication-algorithm sha2-256 |
encapsulation-mode auto |
|
esp authentication-algorithm sha1 md5 |
|
|
esp encryption-algorithm aes-256 aes-192 aes-128 3des des |
Предложения
Некоторые устройства андроида не совместимы с алгоритмом sha2. При конфигурировании ipsec рекомендуется использовать sha1.
