جنيح أنفاق IPSec بين الوصول الآمن و C8000vs المستضاف في Azure/AWS

خيارات التنزيل

  • PDF     (239.3 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:٢٠ فبراير ٢٠٢٦
معرّف المستند:225519

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

مسألة

يتم تعطيل أنفاق شبكة IPsec بين موجهات C8000V / Cisco IOS-XE وشبكة الوصول الآمن من Cisco في منطقة us-east-2. 

تتأثر جميع مجموعات الأنفاق، مما ينتج عنه وجود أنفاق أسفل بين الموجهات المحلية وشبكة الوصول الآمن من Cisco. 

البيئة

  • التقنية: دعم الحلول (SSPT - العقد مطلوب)
  • التقنية الفرعية: الوصول الآمن - أنفاق الشبكة (IPSec، من موقع إلى موقع، مورد خاص)
  • فئة المنتج: SECACCS
  • الموجهات: C8000V / موجهات Cisco IOS-XE (المحلية)
  • نقطة النهاية البعيدة: شبكة الوصول الآمن من Cisco (منطقة US-East-2)
  • إصدار البرامج: غير محدد
  • رسائل الخطأ والسجلات وتصحيح الأخطاء التي تمت ملاحظتها
  • لا يتأثر المستخدمون النهائيون أثناء انقطاع التيار

قرار

من سجلات CNHE

المنفذ = 1409

sourceIpAddr = x.x.x.x

المنفذ = 1408

sourceIpAddr = x.x.x.x

  1. تم الكشف عن تغيير نقطة النهاية البعيدة (تم تحديث المنفذ)
  2. يؤدي Cortex إلى تشغيل المفتاح التابع على هذا التحديث
  3. لا إستجابة من العميل على المفاتيح باستخدام منفذ جديد لذا يستنفذ القشرة عمليات إعادة المحاولة وينتهي النفق
  4. بعد وقت قصير من إعادة بدء العميل باستخدام منفذ جديد حيث يظهر النفق

 من سجلات تقسيم CSA.

2026-02-02T16:36:02.188+00:00 يطلق مفتاح العنصر التابع لتحديث IKE باستخدام IP المحلي: x.x.x.x، ike_spi:new_datanode: 

2026-02-02T16:36:04.207+00:00 إعادة إرسال 1 من الطلب بمعرف الرسالة 0

2026-02-02T16:36:08.207+00:00 إعادة إرسال 2 من الطلب بمعرف الرسالة 0

2026-02-02T16:36:16.207+00:00 إعادة إرسال 3 من الطلب بمعرف الرسالة 0

2026-02-02T16:36:32.207+00:00 إعادة إرسال 4 من الطلب بمعرف الرسالة 0

2026-02-02T16:37:04.207+00:00 إعادة إرسال 5 من الطلب بمعرف الرسالة 0

2026-02-02T16:38:08.208+00:00 التخلي عن بعد 5 إعادة إرسال

2026-02-02T16:38:08.208+00:00 إنهاء IKE، فشل مفتاح Child SA

من سجل تصحيح الأخطاء 1769305781091_vJY_CENTRAL_R2.log:

أخطاء SPI غير صالحة - تحدث بشكل متكرر:

*يناير 24:07:55:04.209: ٪CRYPTO-4-RECVD_PKT_INV_SPI: حزم REC تحتوي حزمة IPsec على SPI غير صالحة ل destination=x.x.x.x.x.prot=50، spi=، srcaddr=x.x.x.x، واجهة الإدخال=Tunnel12

*يناير 24:07:56:06.829: ٪CRYPTO-4-RECVD_PKT_INV_SPI: النطاقات: تحتوي حزمة REC d IPsec على SPI غير صالح ل destination=x.x.x.x، prot=50، spi=، srcaddr=x.x.x.x، واجهة الإدخال=Tunnel11

رفرفة النفق - حالات متعددة لانفاق تتحرك إلى أسفل/أعلى:

*يناير 24:08:33:12.069: ٪LINEPROTO-5-UPDOWN: بروتوكول الخط على نفق الواجهة 12، تم تغيير الحالة إلى أسفل

*يناير 24:08:33:14.459: ٪LINEPROTO-5-UPDOWN: بروتوكول الخط على نفق الواجهة 11، تم تغيير الحالة إلى أسفل

*بتاريخ 24 يناير 2408:33:15.275: ٪LINEPROTO-5-UPDOWN: بروتوكول الخط في نفق الواجهة 11، تم تغيير الحالة إلى أعلى

السبب

يبدو هذا كمشكلة العميل الرخوة إن كان ميناءهم يرفرف.

يبدو أن الرفرفة مستقرة الآن بعد إجراء تغيير في Azure.

المحتوى ذي الصلة

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
1.0
11-Mar-2026
الإصدار الأولي
TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

  • أميت أرورا
    مهندس إستشاري تقني

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات