• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

模拟器支持GRE OVER IPSEC + Radius认证配置吗

2025-05-09提问
  • 0关注
  • 0收藏,321浏览
粉丝:0人 关注:0人

问题描述:

模拟器支持GRE OVER IPSEC + Radius认证配置吗? 使用了模拟器自带的Radius 服务器 配置后 ike sa 协商时flag 显示unknown ,不使用radius状态正常,请求指导一下,配置是不是正常,还是模拟器自带的radius服务器有问题:

#

radius scheme rd

 primary authentication 192.168.56.102 key cipher $c$3$op42b0K52Q04g7U3ExN/9EPM08yyMBojvpwnqQ==

 primary accounting 192.168.56.102 key cipher $c$3$fySuMC1e6no5WluAFmZv7Fro9GzTqvFCz6040A==

 user-name-format without-domain

#

domain system

 authentication ike radius-scheme rd local

 authorization ike radius-scheme rd local

#

 domain default enable system

#

local-user whfz class network

 password cipher $c$3$wGXxbbW8dlj+Pif/Ik5gdgIo5NMV0gPg7kobVw==

 service-type ike

 authorization-attribute user-role network-operator

#

ipsec transform-set tranfz

 encapsulation-mode transport

 esp encryption-algorithm 3des-cbc 

 esp authentication-algorithm md5 

#

ipsec policy bjzb 1 isakmp

 transform-set tranfz 

 security acl 3000 

 remote-address 100.2.2.1

 ike-profile shfz

 sa trigger-mode auto

#

ipsec policy bjzb 2 isakmp

 transform-set tranfz 

 security acl 3001 

 remote-address whfz

 ike-profile whfz

 sa trigger-mode auto

#

 ike identity fqdn bjzb

#

ike profile shfz

 keychain shfz

 local-identity address 100.1.1.1

 match remote identity address 100.2.2.1 255.255.255.0

 proposal 1 

#

ike profile whfz

 keychain whfz

 dpd interval 10 on-demand

 exchange-mode aggressive

 local-identity fqdn bjzb

 match remote identity fqdn whfz

 proposal 1 

 client-authentication xauth

#

ike proposal 1

 encryption-algorithm 3des-cbc

 authentication-algorithm md5

#

ike keychain shfz

 pre-shared-key address 100.2.2.1 255.255.255.255 key cipher $c$3$dIIkVJ3OVn/y51BMvCWvrDjwL4GDDTyoRoqAqg==

#

ike keychain whfz

 pre-shared-key hostname whfz key cipher $c$3$haX6gboNe29WSGvYzVTzrlsOHpxXoTT00frs1g==

#

-------------------------------------------------------------------------------------------------------------

<bjzb>disp ike sa

    Connection-ID   Local               Remote              Flag      DOI    

-------------------------------------------------------------------------

    1               100.1.1.1           100.2.2.1           RD        IPsec  

    14              100.1.1.1           100.3.3.1           Unknown   IPsec  

Flags:

RD--READY RL--REPLACED FD-FADING RK-REKEY

 

最佳答案

粉丝:19人 关注:0人

IKE SA状态显示"Unknown"通常与IKE profile配置错误相关,具体解决方法如下:

  1. 检查IKE profile引用完整性

    • 确认IKE profile中正确引用了以下关键元素:
    [设备] ike profile profile1 keychain keychain1 # 必须包含预共享密钥 match remote identity # 需与对端ID匹配 client-authentication xauth # 启用扩展认证时需关联RADIUS方案 aaa authorization domain ike # 指定AAA授权域
  2. RADIUS服务器配置要点

    • 基础配置必须包含:
    radius scheme ike-scheme primary authentication 1.1.1.1 1812 # 服务器IP/端口 key authentication cipher &#36;密码 # 共享密钥加密方式 user-name-format without-domain # 用户名格式
  3. 关键调试方法

    • 启用实时调试观察交互过程:
    debugging ike all debugging radius all display ike sa verbose # 查看SA详细状态
  4. 特殊场景处理

    • 当使用GRE over IPSec时,需在IPSec策略中明确定义数据流:
    acl advanced 3101 rule permit gre source 1.1.1.1 0 destination 2.2.2.2 0
  5. 模拟器限制说明

    • 已知部分模拟器的内置RADIUS存在以下限制:
    • 不支持EAP-TLS等高级认证方式
    • 对VSA属性支持不完整
    • 建议通过抓包验证RADIUS交互报文完整性

若确认配置无误后问题仍存在,建议导出完整的配置文件和调试日志(含报文交互)进行深度分析。

暂无评论

0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明