当前H3C设备与飞塔设备建立IPSec,H3C侧关键配置如下,在下面配置中,第一阶段也建立不起来。
ipsec policy map1 10 isakmp
transform-set To-ALTO-tran1
security acl 3100
remote-address 1.1.1.1
ikev2-profile ALTO-profile1
#
ikev2 keychain keychain1
peer ALTO-peer1
address 1.1.1.1
identity address 2.2.2.2
pre-shared-key ciphertext $c$3$zI5r1lYKbOi8yhgA/S26pyc1n5CxkB4ESdqPOdwSRw==
#
ikev2 profile ALTO-profile1
authentication-method local pre-share
authentication-method remote pre-share
keychain keychain1
match remote identity address 1.1.1.1
#
ikev2 proposal 1
encryption aes-cbc-256
integrity sha256
dh group19
prf sha256
#
ikev2 policy 1
proposal 1
#
该组网中,飞塔设备在nat后面,为nat穿越场景。前期在调试过程中,飞塔侧未进行nat穿越配置勾选,后续建议飞塔勾选nat穿越,勾选nat穿越后。
飞塔侧设备,需要配置本地标志符,标识符为地址形式,文档中介绍,他们的local id 需要与H3C侧匹配,现场飞塔local id配置了本端的公网地址 2.2.2.2。
后续进行对接测试,依旧不能起来,H3C侧进行debug分析,报错如下:
*Dec 14 23:28:52:057 2023 y03-0202-tsdc-intdmz-rt3600-01 IKEV2/7/FSM: vrf = 0, src = xxxx, dst = xxxx
Searching profile based on peer's identity ID_FQDN of type xxxx
*Dec 14 23:28:52:057 2023 y03-0202-tsdc-intdmz-rt3600-01 IKEV2/7/ERROR: vrf = 0, src =xxxx, dst = xxxxx
None profile matched.
从报错来看,是本端校验对端身份的时候失败,导致没有profile被匹配。当前本端配置校验为如下命令:
match remote identity address 1.1.1.1
但是对端携带的被校验的标识符为2.2.2.2,且该格式为 fqdn格式,所以,本端修改配置,为,
match remote identity fqdn 2.2.2.2 后,问题解决。
IKEv2对等体需要根据对端的身份信息查找一个本端的IKEv2 profile,然后使用此IKEv2 profile中的信息验证对端身份。对端身份信息若能满足本地某个IKEv2 profile中指定的匹配规则,则该IKEv2 profile为查找的结果。该问题中,飞塔设备作为client端,H3C设备需要对飞塔身份进行校验,而此时,飞塔的配置local id信息,为2.2.2.2,故,H3C设备必须配置match fqdn 2.2.2.2,才能匹配上,完成身份校验,从而进入ipsec的协商。需要指出,match remote identity fqdn XXXX命令是响应方对触发方的校验,只需要两边信息一致即可。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作