A(ALONE):表示IPSec策略组状态为不备份状态。 NEG(NEGOTIATING):表示SA正在协商中。 字段为空:表示IKE SA协商未成功,是由于两端设置的某些参数不一致导致的。 Phase:该SA所属阶段。 v1:1或v2:1:v1和v2表示IKE的版本;1表示建立安全通道进行通信的阶段,此阶段建立IKE SA。 v1:2或v2:2:v1和v2表示IKE的...
故障案例:IKE SA协商失败 现象描述 如图1所示,FW间部署IPSec后,PC之间互访不通。 图16-25IPSec组网图 在FW1上执行命令display ike sa查看SA状态,发现IKE SA没有建立,导致IPSec隧道建立失败。 <FW1>display ike saIKE SA information : Conn-ID Peer VPN Flag(s) Phase --- 1342 0.0.0.0 NEG|A v2:1 Nu...
ISP设备分别指向了两个测试机的路由,两台核心交换机路由分别指向了对端测试机,VPN设备分别配置去与回的路由。两边ipsec配置除了IP地址都一致,为啥ike sa的状态就是有问题呢 IPSEC配置如下: chengdu: ike keychain chengdu pre-shared-key address 10.1.46.1 255.255.255.255 key cipher $c$3$Fp/pSets9oXTBK1TzzT...
IKE_SA状态机
故障案例:IPSec SA协商失败 现象描述 如图1所示,FW间部署IPSec后,PC之间互访不通。 图16-27IPSec组网图 在FW1上执行命令display ike sa查看IKE SA状态,发现阶段一的协商状态为RD,阶段二的协商状态为NEG或者没有显示。执行命令display ipsec sa无对应的IPSec SA状态信息显示。表明IPSec SA没有建立,导致IPSec隧道建...
Connection-ID IKE SA的标识符 Remote 此IKE SA的对端的IP地址和端口号 Flags IKE SA的状态,包括: · RD--READY:表示此IKE SA已建立成功 · RL--REPLACED:表示此IKE SA已经被新的IKE SA代替,一段时间后将被删除 · FD-FADING:表示此IKE SA正在接近超时时间,目前还在使用,但即将被删除 · RK-REKEY...
缺省情况下,IKE DPD功能处于关闭状态。 1.12 配置针对无效IPsec SPI的IKE SA恢复功能 1. 功能简介 当IPsec隧道一端的安全网关出现问题(例如安全网关重启)导致其IPsec SA丢失时,会造成IPsec流量黑洞现象:一端(接收端)的IPsec SA已经丢失,而另一端(发送端)还持有对应的IPsec SA且不断地向对端发送报文,当接收端收...
ikev2 initiate sa-init vppipsec:使用vppipsec profile来发起IKEv2安全关联的初始化。之后,我们可以通过查看接口状态,发现多了一个名为ipip0的接口,这正是IPsec隧道接口,表明IPsec隧道已成功建立。接着,在VPP72上,我们需要为IPsec隧道接口ipip0配置IP地址。执行以下命令:vppctl set interface state ipip0 ...
第二阶段建立(IPSec SA) 由于第二阶段的包都是被IKE加密了,所以看不到任何内容,它们交互的内容这里来了解下,这也是后面排错的关键部分。 (1)BJ_FW会发送IPSec定义的安全参数,这里就需要了解IPSec定义的安全参数有哪些(包括IPSec的安全提议以及感兴趣流量ACL)和密钥材料给送给对方。
初始化交换通过两次交换共4个报文便可以完成一对IKE SA和IPSec SA的协商。上图主要用来描述协商报文的内容和对应的处理函数入口。下图则是用来说明各接口对应的协商状态。协商过程中是根据该状态来确定当前的协商阶段。 RFC文档中的报文格式: Initiator Responder ...