お問い合わせ内容
CAT8500ルータのセキュアアクセスに設定されたVTI(仮想トンネルインターフェイス)トンネルでは、show crypto ipsec saを使用してチェックするとIPSec SAが確立されたと表示されますが、show crypto ikev2 saを使用して表示すると、IKEv2 SAはネゴシエーション状態のままになります。トンネルインターフェイスの回線プロトコルがダウンし、セキュアアクセス側に接続が切断されたことが示されるため、トンネルが適切に確立されません。
環境
- 製品ファミリ:CAT8500
- ソフトウェアバージョン:17.15.4c
- テクノロジー:セキュアアクセスネットワークトンネル(IPsec、サイト間)
- トンネルタイプ:VTI(仮想トンネルインターフェイス)
- IKEバージョン:IKEv2
解決策
サポートされているipsecパラメータに従います
DHグループの推奨値は19,20です。
crypto ikev2プロポーザルcsse-G256
暗号化aes-gcm-256
prf sha256
グループ19 21. <<<<<<<<<<<<<<<<<<<<<<<<< 19,20への変更が必要
キーリング
crypto ikev2 keyring csse_useast
ピアcsse_virginia1
アドレスx.x.x.x <<<<<<<<<<<<<<<セキュアアクセスDC
事前共有鍵ローカル
事前共有鍵remote <削除>
!
Profile - missing match identity local。ネットワークトンネルグループの作成時にCSA UIからtunnelIDになる。
crypto ikev2プロファイルcsse_virginia1
match identity remote address x.x.x.x 255.255.255.255
認証リモート事前共有
認証ローカル事前共有
キーリングローカルcsse_useast
!
DHグループを変更すると、追加された一致ローカルIDの問題が修正されます。
原因
この問題の主な原因は、IKEv2プロファイルでローカルID設定が欠落しているか、正しくないことです。セキュアアクセスでは、IKEv2ネゴシエーションを正しく確立するために、特定のIDパラメータが必要です。また、サポートされていないDiffie-Hellmanグループ(19および20以外のグループ)を使用すると、セキュアアクセスを使用したIKEv2ネゴシエーションの成功を妨げる可能性があります。
関連コンテンツ
フィードバック