如图
某局点用我司F1000系列防火墙和第三方设备对接ikev2建立ipsec隧道,对端涉及NAT穿越
用loopback0口代替内网用户;相关配置略
FW1主动带源ping触发,发现本端没有ikev2 sa,对端有ikev2 sa;
debug ikev2 all后报错为:
*Feb 23 14:55:26:019 2022 H3C IKEV2/7/ERROR: -COntext=1; vrf = 0, src = 1.1.1.1, dst = 1.1.1.2/500 Check match item failed for Peer's identity in profile 1, peer's policy verify failed.
*Feb 23 14:55:26:019 2022 H3C IKEV2/7/ERROR: -COntext=1; vrf = 0, src = 1.1.1.1, dst = 1.1.1.2/500 Authentication failed.
*Feb 23 14:55:26:019 2022 H3C IKEV2/7/PACKET: -COntext=1; vrf = 0, src = 1.1.1.1, dst = 1.1.1.2/500 Processed response with message id 1, requests can be sent from (2 ~ 2).
*Feb 23 14:55:26:020 2022 H3C IKEV2/7/FSM: -COntext=1; vrf = 0, src = 1.1.1.1, dst = 1.1.1.2/500 Child SA(Msg ID 1) deleted.
*Feb 23 14:55:26:020 2022 H3C IKEV2/7/FSM: -COntext=1; vrf = 0, src = 1.1.1.1, dst = 1.1.1.2/500 (Tunnel ID 7): IKE SA deleted.
根据对端提供的配置,本端配置相同的协商参数
根据debug报错,是对端的身份标识有问题。
查看配置手册的说明
(3) 配置本端身份信息。
identity local { address { ipv4-address | ipv6 ipv6-address } | dn | email email-string | fqdn fqdn-name | key-id key-id-string }
缺省情况下,未配置本端身份信息。此时使用IP地址标识本端的身份,该IP地址为IPsec安全策略应用的接口的IP地址。
本端FW1中关于对端的身份标识配置成了NAT后的公网地址,导致收到对端的交互报文时身份识别出现错误,匹配不了ikev2 profile
将FW1中关于对端的身份信息相关的配置修改成对端的ipsec接口地址,或者是手动配置的identity address地址,本例中为10.1.1.1
ikev2 keychain中peer的identity配置和ikev2 profile中match remote的identity配置修改后,隧道能正常建立
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作