|
|
IPSec业务不通时,执行命令display ike sa,发现IKE SA没有协商成功。IKE SA协商失败时,显示信息为空、Flag参数为空或者Peer参数为0.0.0.0。
|
|
|
排错方法1:使用命令display ike proposal,查看IKE对等体间的IKE安全提议是否一致,如果不一致需要配置一致。例如检查发现认证算法不一致。
|
|
|
|
|
|
|
排错方法2:使用命令display ike peer,查看对等体视图下的配置是否有遗漏或配置错误。检查是否配置对端IP地址。
|
|
|
采用ACL方式建立IPSec隧道时,如果IKE协商采用主模式,则设备必须指定对端的IP地址,而且两端指定的对端IP地址要相互匹配。
|
|
|
例如IKE协商的发起方和响应方的IP地址分别为10.1.1.2和10.2.1.2,配置如下所示。
|
|
|
|
|
|
|
对端outbound的spi值与本端的inbound不同或配置的策略不同(esp、ah)。
|
|
|
判断方法和解决方案为:检查双方的配置信息,尤其是在IPSec-manual方式下检查双方的SPI值是否按方向(inbound、outbound)匹配。而在IPSec-isakmp下,则可能是协商出错。
|
|
|
|
问题描述:IPSec业务不通时,执行命令display ike sa,发现IPSec SA没有协商成功,第二阶段的显示信息未显示或Flag参数为空。
|
|
|
排错方法1:执行命令display ipsec proposal,查看IKE对等体间的IPSec安全提议是否一致,如果不一致需要配置一致。例如检查发现ESP协议采用的认证算法不一致。
|
|
|
|
|
|
|
排错方法2:使用命令display ipsec policy,查看IPSec安全策略视图下的配置是否有遗漏或配置错误。检查IPSec安全策略中引用的ACL是否一致。
|
|
|
当IPSec隧道两端的ACL规则镜像配置时,任意一方发起协商都能保证SA成功建立;当IPSec隧道两端的ACL规则非镜像配置时,只有发起方的ACL规则定义的范围是响应方的子集时,SA才能成功建立。因此,建议IPSec隧道两端配置的ACL规则互为镜像,即一端配置的ACL规则的源地址和目的地址分别为另一端配置的ACL规则的目的地址和源地址。
|
|
|
例如IKE协商的发起方源/目的地址为172.16.10.2/172.16.20.2,IKE协商的响应方源/目的地址为172.16.20.2/172.16.10.2。
|
|
|
|
|
|
|
检查IPSec安全策略中引用的IKE对等体中内容是否一致,如果不一致需要配置一致。例如IKE协商的发起方引用的IKE对等体为spub。
|
|
|
|
|
|
检查IPSec安全策略中引用的IPSec安全提议中内容是否一致,如果不一致需要配置一致。例如IKE协商的发起方引用的IPSec安全提议为tranl。
|
|
|
|
|
|