Apple设备在IKE/ISAKMP实现中存在的兼容性问题

最新推荐文章于 2024-09-22 21:09:03 发布
最新推荐文章于 2024-09-22 21:09:03 发布
阅读量275 收藏
点赞数 2
分类专栏: Cisco与网络技术 文章标签: 网络 IKE ISAKMP iOS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/robur/article/details/137482216
版权

问题描述:

Apple设备(MacOS、iOS)在进行IKE/ISAKMP协商时,会无故中断。

在Cisco路由器上进行debug,会显示ISAKMP Phase 1完成,但因为DPD超时而被踢掉。(这个实验结论出自14年前,也就是西历2010年,具体的debug输出已经找不到了。)

在H3C路由器上进行debug,会输出如下信息:

IKE SA state changed from IKE_P1_STATE_SEND4 to IKE_P1_STATE_ESTABLISHED.

...

Received retransmitted packet.

...

Retransmit in response to retransmitted packet.

可以看见,IKE Phase 1完成后,却发生了多次重传,直到Apple设备提示无法连接。

重传的报文都显示【next payload: ID 】。

问题的原因及解决方法:

如果路由器将IKE/ISAKMP的identity设置为非IP地址格式(如FQDN格式),则会导致该问题的发生。

距笔者在2010年首次发现该问题(那是还是iPhone 4),已经过去14年之久。现在的iOS版本已经升级到17.4了,没想到这个问题居然还在……

解决方法是,在路由器的配置中,将路由器本身的identity设置为IP地址格式。

锐捷网络—VPN功能—IPSec VPN 常见问题和故障
君逍遥o
09-13 4219
IPSec (IP Security )是一种由IETF设计的端到端的确保IP层通信安全的机制。 IPSec协议可以为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击。 IPSec不是一个单独的协议,而是一组协议,IPSec协议的定义文件包括了12个RFC文件和几十个Internet草案,已经成为工业标准的网络安全协议。
IPSec中 ISAKMP & ESP 报文解密方法
a_A_A_a___的博客
08-02 3360
(1) IPSec对等体连接完毕后在服务器输入 sudo ip xfrm state 可以看到源地址到目的地址的SPI值,加密/认证算法、加密/认证密钥等。(2) Wireshark点击ESP报文协议首选项 -》选择ESP字段-》点击ESP SAs -》 添加两条IPv4协议的解密规则,输入两个方向的SPI值,选择加密/认证算法,加密/认证密钥,点击OK即可。
udp port isakmp unreachable
weiliang_Handan的博客
05-30 764
当遇到“UDP port ISAKMP unreachable”问题时,通常意味着设备或防火墙阻止或不响应ISAKMP(Internet Security Association and Key Management Protocol)流量。ISAKMP用于在IPsec VPN中建立安全关联和加密密钥,依赖于UDP端口500。
openswan中ISAKMP交互过程关键函数接口
遇见你是我最美丽的意外
05-18 5122
1. ISAKMP交互过程中关键函数接口 下面分别说明不同的阶段和模式下的函数接口以及对应的报文。 2. 第一阶段(Phase I)主模式函数接口 发送端响应端main_outI1主模式第一包main_inI1_outR1主模式第二包main_inR1_outI2主模式第三包main_inI2_outR2主模式第四包main_inR2_outI3主模式第五包main_inI3_outR3主模式第六包main_inR3发送端响应端 3. 第一阶段(Phase I)野蛮模式函数接口 发送端响应端aggr_ou
ISAKMP/IKE阶段1连接
weixin_33748818的博客
11-17 2830
(一)阶段1策略 1、启动ISAKMP(默认是开启的) R1(config)#crypto isakmp enable 2、建立策略(保护阶段1--管理连接) R1(config)#crypto isakmp policy ? <1-10000> Priority of protection suite R1(config-isakmp)#...
ipsec ike v1 isakmp和esp.pcap
12-08
ipsec ike v1 isakmp和esp解密-抓包联系,请搭配说明文档使用
嵌入式系统/ARM技术中的IPSec与NAT之间的兼容性分析和解决方案
12-08
在嵌入式系统特别是ARM架构的设备中,由于资源限制,实现这些解决方案可能会带来额外的挑战,如性能影响和配置复杂性。因此,选择合适的NAT兼容IPSec实施方案,以及优化嵌入式系统的硬件和软件资源,是确保安全和...
IPsec体系结构解析:IKE协议与ISAKMP实现
"本文详细介绍了IPsec体系结构以及ISAKMP协议的实现流程,涉及IKE协议的两个阶段,包括主模式和野蛮模式的交换,以及ISAKMP报文的结构和各类载荷类型。" IPsec(Internet Protocol Security)是一种网络安全协议集...
Internet密钥交换(IKE)及其在Linux系统中的实现.pdf
09-07
在Linux系统中实现IKE,需要解决进程与内核之间的通信问题。通常,这涉及到消息队列的使用。消息队列是一种进程间通信机制,允许进程向队列中写入消息,其他进程可以从队列中读取。在IKE实现中,通过消息队列,...
结合配置、抓包来分析IKE/IPSec的整个协商过程
最新发布
网络之路Blog(其他平台同名)
09-22 1653
实际上在配置里面,只是配置了一个ike proposal 1,并没有定义详细的参数,但是这里博主说下,不管是思科、华三还是华为的设备,默认都会有一个内置的默认策略,当创建了一个porposal后,没有定义实际的配置,那么就会继承默认参数,但华为防火墙里面有一个更人性化的地方,它默认内置了一个default,并且加密与认证算法都包含了几种不同强度在里面,这样的好处就是尽可能得简化用户的配置,实用默认的就可以直接建立。下一篇来进入一个正式的环境,来看看在部署了NAT与安全策略后会遇到哪些问题。
IPSec中pluto框架和函数接口
03-29
该文档主要用来介绍IPsec是模块中pluto的框架、基本原理简介、函数调用关系、主要函数接口说明。例如包含:主模式和野蛮模式报文交互流程和函数接口、IKE协商、内核函数接口等
使用预共享密钥配置站点到站点的IPsec
weixin_34381666的博客
04-27 470
一、首先让我们去了解一下IKE的两个阶段的协商过程: 1Phase I :IKE的第1阶段 (IKE的SA 又称为:ISAKMP的SA) a. 对两个对等体之间提供认证 b. 双向SA(安全关联)参数的协商 c. 工作在两种模式:主要模式和野蛮模式 说明:IKE的第1阶段并不直接用来提供数据的加密 2、Phase II:IKE的第2阶段 (...
IPsec ISAKMP协议
热门推荐
bytxl的专栏
06-30 2万+
IPsec ISAKMP:Internet 安全连接和密钥管理协议 (ISAKMP:Internet Security Association and Key Management Protocol)   Interne 安全连接和密钥管理协议(ISAKMP)是 IPsec 体系结构中的一种主要协议,它结合加密安全的概念,密钥管理和安全连接来建立政府,商家和因特网上的私有通信所需要的安全。
IPsec ACL不匹配的典型错误日志
weixin_33734785的博客
05-15 597
IPSec ACL就是我们通常说的×××感兴趣流量。在实际的工作当中,由于这个ACL配置不当而造成的问题是很常见的。典型的报错为“QM FSM error”,可以在PIX/ASA上运行“debug crypto isakmp” 来查看。 May 15 09:17:11 [IKEv1]: Group = X.X.X.X, IP = X.X.X.X, QM FSM...
实际中可能遇到的NAT问题(IPsec)
weixin_30265103的博客
12-13 665
一、背景介绍:一般我们在实际网络中不是IPSec VPN的时候,都是边界设备连接Internet,然后两个边界设备通过Internet去实现互通,建立VPN,但是,有的运营商在分配IP地址的时候,给我们使用的地址可能会在运营商的设备上再完成一次NAT,这样将会导致我们的IPSec VPN无法建立,我做了一个测试,简单搭建的拓扑图如下: R1作为一个分支站点的边界路由去,R2和R3是作为运营...
锐捷ipsec动态模式实验——命令解释
m0_62621003的博客
03-31 427
crypto ipsec transform-set cs esp-des esp-md5-hmac #配置转换集,指定ipsec使用esp封装des加密、MD5检验。crypto map fz 10 ipsec-isakmp dynamic cs #将策略cs绑定在fz模板上。crypto dynamic-map cs 5 #指定动态加密模板。set transform-set cs #设置转换集。
ipsec协议_(故障案例)来自国外的IPSEC攻击导致爱快路由器带宽被占用满
weixin_39859220的博客
12-01 1778
今天一个老哥(一直支持我课程的朋友),找我解决了一个奇怪的故障,那必须解决它!!01奇怪的故障外网流量被占用满老哥找我的时候,正好有时间这个图看了后是不是很怪异,WAN1的下行被占用满了,LAN1接内网的没多大流量02分析发现了问题,开始分析出现的可能性初步从是不是爱快的扩展业务繁心或者是开了L2TP/PPTP把带宽给占用了,但老哥说没有,然后禁止了ping后还是带宽跑满。03...
极其详细的isakmp的细节
weixin_33948416的博客
09-21 1720
see:http://book.soundonair.ru/cisco/ch13lev1sec4.html IPsec Negotiation Using the IKE Protocol IKE negotiates IPsec tunnels between two IPsec peers. This negotiation can be done using a combinat...
IPSec ×××实验
weixin_33882452的博客
12-01 290
IPSec ×××实验一,IKE协商.IKE协商跟TCP三次握手相似.不过比TCP 三次握手复杂点.IKE协商过程需要经过9个报文的来回,才能建立通讯双方需要的IKE SA,然后利用该IKE SA进行数据的加密和解密.IKE协商报文采用UDP格式,默认端口是500一,IKE协商的第一阶段:也称为IKE的主模式:1,A和B通讯,A作为发起方,第一个报文是A本地配置的policy...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值