2万+  知识点  标题检索     全文检索
       常见的故障
               IKE SA协商失败
               IPSec业务不通时,执行命令display ike sa,发现IKE SA没有协商成功。IKE SA协商失败时,显示信息为空、Flag参数为空或者Peer参数为0.0.0.0。
               排错方法1:使用命令display ike proposal,查看IKE对等体间的IKE安全提议是否一致,如果不一致需要配置一致。例如检查发现认证算法不一致。
               IKE协商的发起方:
               
               IKE协商的响应方:
               
               排错方法2:使用命令display ike peer,查看对等体视图下的配置是否有遗漏或配置错误。检查是否配置对端IP地址。
               采用ACL方式建立IPSec隧道时,如果IKE协商采用主模式,则设备必须指定对端的IP地址,而且两端指定的对端IP地址要相互匹配。
               例如IKE协商的发起方和响应方的IP地址分别为10.1.1.2和10.2.1.2,配置如下所示。
               IKE协商的发起方:
               
               IKE协商的响应方:
               
               对端outbound的spi值与本端的inbound不同或配置的策略不同(esp、ah)。
               判断方法和解决方案为:检查双方的配置信息,尤其是在IPSec-manual方式下检查双方的SPI值是否按方向(inbound、outbound)匹配。而在IPSec-isakmp下,则可能是协商出错。
               IPSec SA协商失败
               问题描述:IPSec业务不通时,执行命令display ike sa,发现IPSec SA没有协商成功,第二阶段的显示信息未显示或Flag参数为空。
               排错方法1:执行命令display ipsec proposal,查看IKE对等体间的IPSec安全提议是否一致,如果不一致需要配置一致。例如检查发现ESP协议采用的认证算法不一致。
               IKE协商的发起方:
               
               IKE协商的响应方:
               
               排错方法2:使用命令display ipsec policy,查看IPSec安全策略视图下的配置是否有遗漏或配置错误。检查IPSec安全策略中引用的ACL是否一致。
               当IPSec隧道两端的ACL规则镜像配置时,任意一方发起协商都能保证SA成功建立;当IPSec隧道两端的ACL规则非镜像配置时,只有发起方的ACL规则定义的范围是响应方的子集时,SA才能成功建立。因此,建议IPSec隧道两端配置的ACL规则互为镜像,即一端配置的ACL规则的源地址和目的地址分别为另一端配置的ACL规则的目的地址和源地址。
               例如IKE协商的发起方源/目的地址为172.16.10.2/172.16.20.2,IKE协商的响应方源/目的地址为172.16.20.2/172.16.10.2。
               IKE协商的发起方:
               
               IKE协商的响应方:
               
               检查IPSec安全策略中引用的IKE对等体中内容是否一致,如果不一致需要配置一致。例如IKE协商的发起方引用的IKE对等体为spub。
               
               其IKE对等体的相关配置为:
               
               检查IPSec安全策略中引用的IPSec安全提议中内容是否一致,如果不一致需要配置一致。例如IKE协商的发起方引用的IPSec安全提议为tranl。
               
               IPSec安全提议的相关配置为:
               
 
 相关知识点:
 
软考在线指南
优惠劵及余额
在线支付
修改密码
下载及使用
购买流程
取消订单
联系我们
关于我们
联系我们
商务合作
旗下网站群
高级资格科目
信息系统项目管理师 系统分析师
系统架构设计师 网络规划设计师
系统规划与管理师
初级资格科目
程序员 网络管理员
信息处理技术员 信息系统运行管理员
中级资格科目
系统集成项目管理工程师 网络工程师
软件设计师 信息系统监理师
信息系统管理工程师 数据库系统工程师
多媒体应用设计师 软件评测师
嵌入式系统设计师 电子商务设计师
信息安全工程师
 

本网站所有产品设计(包括造型,颜色,图案,观感,文字,产品,内容),功能及其展示形式,均已受版权或产权保护。
任何公司及个人不得以任何方式复制部分或全部,违者将依法追究责任,特此声明。
本站部分内容来自互联网或由会员上传,版权归原作者所有。如有问题,请及时联系我们。


工作时间:9:00-20:00

客服

点击这里给我发消息 点击这里给我发消息 点击这里给我发消息

商务合作

点击这里给我发消息

客服邮箱service@rkpass.cn


京B2-20210865 | 京ICP备2020040059号-5 |京公网安备 11010502032051号 | 营业执照 | Copyright ©2000-2019 All Rights Reserved 软考在线版权所有