FAQ IPsec : Pourquoi les téléphones Avaya ne peuvent-ils plus se connecter via un VPN IPsec après la mise à niveau du code sur l'ASA ?

Options de téléchargement

  • PDF     (424.7 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (396.6 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (314.1 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:17 juillet 2013
ID du document:116294

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit un problème rencontré lors du déploiement d'Avaya sur un système dans lequel les téléphones utilisent le client IPsec (Internet Protocol Security) intégré.

Pourquoi les téléphones Avaya ne peuvent-ils plus se connecter via un VPN IPSEC après la mise à niveau du code sur l'appareil de sécurité adaptatif Cisco (ASA) ?

Afin de comprendre ce problème, vous devez comprendre comment fonctionnent la traduction d'adresses de réseau (NAT-T) et la découverte NAT (NAT-D). Le processus NAT-D se compose des étapes suivantes :

  1. Détecte un ou plusieurs périphériques NAT entre des hôtes IPsec.
  2. Indique si l'homologue prend en charge NAT-T.
  3. Négocie l'utilisation de l'encapsulation UDP (User Datagram Protocol) des paquets IPsec via des périphériques NAT dans l'échange de clés Internet (IKE).

NAT-D envoie les hachages des adresses IP et des ports des deux homologues IKE de chaque extrémité à l'autre. Si les deux extrémités calculent ces hachages et produisent les mêmes résultats, elles savent qu'il n'y a pas de NAT entre les deux. Les hachages sont envoyés sous la forme d'une série de charges utiles NAT-D. Chaque charge utile contient un hachage. Dans le cas de hachages multiples, plusieurs charges utiles NAT-D sont envoyées. Normalement, il n'y a que deux charges utiles NAT-D. Les charges utiles NAT-D sont incluses dans les troisième et quatrième paquets du mode principal et dans les deuxième et troisième paquets du mode agressif. Puisque cet exemple utilise un tunnel d'accès distant, il s'agit du mode agressif.

L'un des détails inclus dans les charges utiles NAT-D est l'ID de fournisseur (VID). L'échange de VID entre homologues permet de déterminer la capacité NAT-T de l'hôte distant, comme décrit dans RFC (Request for Comments) 3947 :

The format of the NAT-D packet is:

        1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8
      +---------------+---------------+---------------+---------------+
      | Next Payload  | RESERVED      | Payload length                |
      +---------------+---------------+---------------+---------------+
      ~                 HASH of the address and port
      +---------------+---------------+---------------+---------------+

   The payload type for the NAT discovery payload is 20.

Le type de charge utile accepté actuel de la charge utile NAT-D est 20. Si vous regardez les débogages sur l'ASA, vous voyez :

[IKEv1]IP = 192.168.96.120, IKE_DECODE RECEIVED Message (msgid=0) with payloads:
HDR + KE (4) + NONCE (10) + UNKNOWN (15), *** ERROR *** + UNKNOWN (15),
*** ERROR *** + NONE (0) total length : 232

Voici des captures instantanées des paquets :

ASA vers téléphone :

Téléphone vers ASA :

Avaya ne reconnaît pas la charge utile 20 et l'ASA ne comprend pas la charge utile de type 15. L'explication de ce comportement est que, en 2004, le même RFC a défini le type de charge utile comme 15. Par conséquent, depuis 2004, les téléphones Avaya qui utilisent ce type de données utiles ne sont plus compatibles RFC. Alors, pourquoi a-t-il fonctionné avec un code plus ancien ? Parce que, comme Avaya, une partie de l'ancien code (version 8.0.x) prend toujours en charge l'ancien ID. Cependant, le nouveau code (Versions 8.2.1+) est censé être conforme à la nouvelle valeur RFC et ne doit pas prendre en charge le type de charge utile15. Néanmoins, vous pouvez trouver différentes versions autour de qui prennent toujours en charge le type de charge utile15, ce qui est la cause du problème.

Avaya doit réparer le micrologiciel sur le téléphone de sorte que le client VPN intégré utilise l'ID de bloc d'alimentation approprié. Malheureusement, certains autres téléphones Avaya, comme la série 46xx, ne sont plus en production et ne recevront pas de correctif. Dans ce cas, vous devez soit obtenir un nouvel équipement, soit rétrograder l'ASA vers une version sur laquelle il fonctionnait. Évidemment cette dernière option n'est pas disponible si vous avez mis à niveau afin d'obtenir une correction de bogues en premier lieu. Toutes les versions logicielles de Cisco qui fonctionnent avec l'ancien ID de charge utile doivent être signalées et le problème résolu sur ces versions.

TAC Authored

Contribution d’experts de Cisco

  • Atri Basu and Gustavo Medina
    Cisco TAC Engineers.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits