Tunnel VTI per proteggere l'accesso con problemi di negoziazione IKEv2 su CAT8500

Opzioni per il download

PDF (233.0 KB)
Visualizza con Adobe Reader su diversi dispositivi
ePub (84.8 KB)
Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (70.0 KB)
Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi

Aggiornato:17 marzo 2026

ID documento:225619

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Sommario

Problema

In un tunnel VTI (Virtual Tunnel Interface) configurato per proteggere l'accesso su un router CAT8500, l'associazione di sicurezza IPsec viene stabilita quando si esegue il controllo con show crypto ipsec sa, ma l'associazione di sicurezza IKEv2 rimane in stato di negoziazione quando viene visualizzata con show crypto ikev2 sa. Il protocollo della linea di interfaccia del tunnel non è attivo e sul lato Secure Access la connessione è disconnessa, il che impedisce al tunnel di stabilirsi correttamente.

Ambiente

Famiglia di prodotti: CAT8500
Versione del software: 17.15.4 quater
Tecnologia: Tunnel di rete ad accesso sicuro (IPsec, da sito a sito)
Tipo di tunnel: VTI (Virtual Tunnel Interface)
Versione IKE: IKEv2

Risoluzione

In base ai parametri IPSec supportati:

I valori consigliati sono 19,20 per il gruppo DH.

crypto ikev2 proposta csse-G256

crittografia aes-gcm-256

prf sha256

gruppo 19 21. <<<<<<<<<<<<<<<<<<<<<<<<<<<<<< <><<<: questa opzione richiede una modifica a 19.20

Gruppo di chiavi -

crypto ikev2 keyring csse_usest

peer csse_virginia1

indirizzo x.x.x.x <<<<<<<<<<<<<<<

locale con chiave già condivisa <rimosso>

remoto con chiave già condivisa <rimosso>

Profilo: identità di corrispondenza mancante locale. L'ID del tunnel verrebbe restituito dall'interfaccia utente CSA quando si crea un gruppo di tunnel di rete.

crypto ikev2 profile csse_virginia1

corrispondenza indirizzo remoto identità x.x.x.x 255.255.255.255

pre-condivisione remota per l'autenticazione

pre-condivisione locale di autenticazione

digitazione csse_useast locale

Dopo aver modificato il gruppo DH, il problema dell'identità locale della corrispondenza aggiunta viene risolto.

Causa

La causa principale di questo problema è in genere la configurazione dell'identità locale mancante o non corretta nel profilo IKEv2. Per stabilire correttamente la negoziazione IKEv2, Secure Access richiede parametri di identità specifici. Inoltre, l'utilizzo di gruppi Diffie-Hellman non supportati (diversi da 19 e 20) può impedire la riuscita della negoziazione IKEv2 con Secure Access.