博客详细描述了在尝试建立IPsec隧道时遇到的问题,即IKEv1快速模式无法正常建立,导致IPsecSA协商失败。作者检查配置并进行了路由器的DEBUG信息分析,发现策略模板匹配失败可能是原因。尽管在模拟环境中配置工作正常,但在实际路由器上存在问题,怀疑是模拟器自身的兼容性或实现问题。DEBUG信息显示,右边路由器找不到策略模板,进而无法进行IPsecSA的协商,导致阶段2的SA缺失。
拓扑如图所示
抓包信息
上面是抓包结果,IPsec的隧道建立就一直停留在快速模式的第一次包交互中,我在路由器上测试不能够正常建立IPsec隧道,主要的问题就是IKEv1的快速模式无法正常建立,我初步猜测是配置问题之间存在差异导致没有办法协商成功,但是检查之后发现配置使用的都是默认配置不存在相关的配置问题,所以进行debug下面是debug信息:
这是右边的路由器的DEBUG信息
可以看到这里的调试信息显示我的策略模板上面的配置没有匹配到,所以才导致配置的失败,但是我使用相同的配置在ENSP的防火墙上是完全没有问题的,所以猜测是模拟器自身的问题,当进行到快速模式后,右边的路由器无法获取到策略模板上的配置,从而导致无法进行正常的IPsecSA 的协商。
这是左边的路由器的DEBUG信息
当右边的路由器没有办法找到相关的策略模板中的配置信息,它就发送info报文通知左边的路由器去进行SA的删除,所以才会出现,当我们display ike sa的时候仅仅出现阶段1的SA,而没有出现阶段2的SA,因为阶段2的SA因为模拟器的缘故而无法正常地进行协商。
扫一扫
1206
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
