VTI-Tunnel für sicheren Zugriff mit IKEv2-Verhandlungsproblemen bei CAT8500

Download-Optionen

  • PDF     (234.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (83.9 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (68.8 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:17. März 2026
Dokument-ID:225619

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Problem

Ein VTI-Tunnel (Virtual Tunnel Interface), der für den sicheren Zugriff auf einem CAT8500-Router konfiguriert ist, zeigt die IPsec-SA an, die beim Überprüfen mit show crypto ipsec sa eingerichtet wurde, aber die IKEv2-SA bleibt im Aushandlungsstatus, wenn sie mit show crypto ikev2 sa angezeigt wird. Das Tunnelschnittstellenprotokoll ist ausgefallen, und auf der Seite für sicheren Zugriff wird die Verbindung als getrennt angezeigt, sodass der Tunnel nicht ordnungsgemäß hergestellt werden kann.

Umwelt

  • Produktfamilie: CAT8500
  • Software-Version: 17,15,4 Cups
  • Technologie: Secure Access Network Tunnels (IPsec, Site-to-Site)
  • Tunneltyp: VTI (Virtual Tunnel Interface)
  • IKE-Version: IKEv2

Auflösung

Gemäß unseren unterstützten ipsec-Parametern - 

Für die DH-Gruppe werden Werte von 19,20 empfohlen. 

crypto ikev2, Vorschlag csse-G256

 Verschlüsselung aes-gcm-256

 PRF SHA256

 group 19 21. <<<<<<<<<<<<<<<<<<<<<<<<<< Hierfür muss die Einstellung 19,20 geändert werden.

Schlüsselbund - 

crypto ikev2 keyring csse_useast

 peer csse_virginia1

  Adresse x.x.x.x <<<<<<<<<<<<<<<<<<

  pre-shared-key local <entfernt>

  pre-shared-key remote <entfernt>

 ! 

Profile - fehlende Übereinstimmung mit lokaler Identität. Dies wäre eine tunnelID der CSA-UI, wenn eine Netzwerk-Tunnelgruppe erstellt wird.

crypto ikev2 profile csse_virginia1

 match identity remote address x.x.x.x 255.255.255.255 

 Authentifizierung Remote Pre-Share

 Authentifizierung lokale Pre-Share

 keyring local csse_useast

!

Sobald Sie die DH-Gruppe ändern, wird das Problem mit der lokalen Identität der hinzugefügten Übereinstimmung behoben.

Ursache

Die Hauptursache für dieses Problem ist in der Regel eine fehlende oder falsche lokale Identitätskonfiguration im IKEv2-Profil. Für den sicheren Zugriff sind bestimmte Identitätsparameter erforderlich, um die IKEv2-Aushandlung ordnungsgemäß einzurichten. Darüber hinaus kann die Verwendung nicht unterstützter Diffie-Hellman-Gruppen (andere Gruppen als 19 und 20) eine erfolgreiche IKEv2-Aushandlung mit sicherem Zugriff verhindern.

Verwandte Inhalte

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
17-Mar-2026
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Amit Arora
    Technischer Berater

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.