Problema
Un túnel VTI (interfaz de túnel virtual) configurado para Secure Access en un router CAT8500 muestra IPsec SA como se estableció al verificar con show crypto ipsec sa, pero IKEv2 SA permanece en estado de negociación cuando se visualiza con show crypto ikev2 sa. El protocolo de línea de interfaz de túnel está inactivo y el lado Secure Access muestra la conexión como desconectada, lo que impide que el túnel se establezca correctamente.
Entorno
- Familia de productos: CAT8500
- Versión del software: 17.15.4c
- Tecnología: Túneles de red de acceso seguro (IPsec, de sitio a sitio)
- Tipo de túnel: VTI (interfaz de túnel virtual)
- Versión IKE: IKEv2
Resolución
De acuerdo con nuestros parámetros de ipsec admitidos -
Los valores recomendados son 19,20 para el grupo DH.
propuesta crypto ikev2 case-G256
encryption aes-gcm-256
prf sha256
grupo 19 21. <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< Esto requiere un cambio a 19,20
Anillo de llaves:
crypto ikev2 keyring csse_useast
peer csse_virginia1
address x.x.x.x <<<<<<<<<<<<<<<<< Data Center de acceso seguro
pre-shared-key local <remove>
pre-shared-key remote <remove>
!
Perfil: falta la identidad de coincidencia local, que sería tunnelID de la interfaz de usuario de CSA cuando creamos un grupo de túnel de red.
crypto ikev2 profile csse_virginia1
match identity remote address x.x.x.x 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local csse_useast
!
Una vez que cambie el grupo DH, se solucionará el problema de identidad local de coincidencia agregado.
Causa
La causa principal de este problema suele ser la ausencia o la configuración incorrecta de la identidad local en el perfil IKEv2. Secure Access requiere parámetros de identidad específicos para establecer correctamente la negociación IKEv2. Además, el uso de grupos Diffie-Hellman no compatibles (grupos distintos de 19 y 20) puede impedir una negociación IKEv2 correcta con Secure Access.
Contenido relacionado
Comentarios