安全与 VPN : IPSec 协商/IKE 协议

IPsec FAQ :为什么不再是Avaya能的电话通过IPSec VPN连接在ASA的代码升级以后?

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述遇到的问题,当Avaya在电话使用内置的Internet协议安全性的系统时部署(IPsec)客户端。

贡献用Atri巴苏和古斯塔沃Medina, Cisco TAC工程师。

为什么不再是Avaya能的电话通过IPSEC VPN连接在思科可适应安全工具(ASA)的代码升级以后?

为了了解此问题,您如何需要知道网络地址转换穿越(NAT-T)和NAT发现(NAT-D)工作。NAT-D进程包括这些步骤:

  1. 检测在IPsec主机之间的一个或更多NAT设备。
  2. 如果对等体支持NAT-T,识别。
  3. 协商使用IPSec信息包的用户数据报协议(UDP)封装到在Internet Key Exchange (IKE)的NAT设备。

NAT-D发送切细两IKE对等体IP地址和端口从每个末端的到其他。如果两端计算那些切细,并且请导致同样结果,他们知道没有NAT之间。切细发送作为一系列的NAT-D有效载荷。每有效负载包含一哈希。一旦多个切细,多NAT-D有效载荷发送。通常,只有两NAT-D有效载荷。NAT-D有效载荷包括在主模式的第三和第四数据包和在积极模式的第二和第三数据包。因为此示例使用一个远程访问隧道,它是积极模式。

在NAT-D有效载荷包括的其中一详细信息是厂商ID (VID)。VIDs交换在对等体帮助之间的确定远程主机的NAT-T功能,正如请求注释(RFC) 3947所描述:

The format of the NAT-D packet is:

1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8
+---------------+---------------+---------------+---------------+
| Next Payload | RESERVED | Payload length |
+---------------+---------------+---------------+---------------+
~ HASH of the address and port
+---------------+---------------+---------------+---------------+

The payload type for the NAT discovery payload is 20.

NAT-D有效负载的当前已接受有效载荷类型是20。如果查看在ASA的调试,您看到:

[IKEv1]IP = 192.168.96.120, IKE_DECODE RECEIVED Message (msgid=0) with payloads:
HDR + KE (4) + NONCE (10) + UNKNOWN (15), *** ERROR *** + UNKNOWN (15),
*** ERROR *** + NONE (0) total length : 232

这是从数据包捕获的快照:

打电话的ASA :

对ASA的电话:

Avaya不认可有效负载20,并且ASA不了解有效载荷类型15。此行为的说明是,因为,在2004年,同样RFC定义有效载荷类型作为15。所以,自2004年以来,使用此有效载荷类型的Avaya电话不再是兼容的RFC。因此,它为什么与更加旧有一起使用编码?由于,类似Avaya,某些更旧的代码(版本8.0.x)仍然支持旧有ID。然而,更新的代码(版本8.2.1+)应该是兼容的与新的RFC值,并且不应该支持有效负载type15。但是,您能在该附近仍然找到多种版本支持有效负载type15,是什么引起问题。

Avaya需要修理在电话的固件,以便内置的VPN客户端使用正确的paylod ID。不幸地,一些其他Avaya电话,类似46xx系列,不再在制作,并且不会获得修正。在这种情况下,您需要获取新设备或需要降级ASA到工作的版本。明显地,如果首先,升级为了获得一bug修复此更加更高的选项不是可用的。在那些版本修复的其中任一个与更旧的有效负载ID需要报告一起使用的思科的软件版本和问题。


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 116294