이 문서에서는 전화기가 내장형 IPsec(Internet Protocol Security) 클라이언트를 사용하는 시스템에 Avaya를 구축하는 경우 발생하는 문제를 설명합니다.
이 문제를 이해하려면 NAT-T(Network Address Translation) 및 NAT 검색(NAT-D)의 작동 방식을 이해해야 합니다.NAT-D 프로세스는 다음 단계로 구성됩니다.
NAT-D는 양쪽 IKE 피어의 IP 주소 및 포트의 해시를 양쪽에서 다른 끝으로 보냅니다.양쪽 끝이 이러한 해시를 계산하고 동일한 결과를 생성하는 경우 사이에 NAT가 없다는 것을 알게 됩니다.해시는 일련의 NAT-D 페이로드로 전송됩니다.각 페이로드는 하나의 해시를 포함합니다.여러 해시의 경우 여러 NAT-D 페이로드가 전송됩니다.일반적으로 NAT-D 페이로드는 2개뿐입니다.NAT-D 페이로드는 주 모드의 세 번째 및 네 번째 패킷과 적극적인 모드의 두 번째 및 세 번째 패킷에 포함됩니다.이 예에서는 원격 액세스 터널을 사용하므로 Aggressive Mode입니다.
NAT-D 페이로드에 포함된 세부사항 중 하나는 VID(Vendor ID)입니다. 피어 간 VID를 교환하면 RFC(Request for Comments) 3947에 설명된 대로 원격 호스트의 NAT-T 기능을 확인할 수 있습니다.
The format of the NAT-D packet is:
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8
+---------------+---------------+---------------+---------------+
| Next Payload | RESERVED | Payload length |
+---------------+---------------+---------------+---------------+
~ HASH of the address and port
+---------------+---------------+---------------+---------------+
The payload type for the NAT discovery payload is 20.
NAT-D 페이로드의 현재 허용 페이로드 유형은 20입니다. ASA의 디버그를 보면 다음을 볼 수 있습니다.
[IKEv1]IP = 192.168.96.120, IKE_DECODE RECEIVED Message (msgid=0) with payloads:
HDR + KE (4) + NONCE (10) + UNKNOWN (15), *** ERROR *** + UNKNOWN (15),
*** ERROR *** + NONE (0) total length : 232
다음은 패킷 캡처의 스냅샷입니다.
ASA에서 전화로:
ASA에 전화:
Avaya는 페이로드 20을 인식하지 못하며 ASA는 페이로드 유형 15를 인식하지 못합니다. 이 동작에 대한 설명은 2004년에 동일한 RFC가 페이로드 유형을 15로 정의했기 때문입니다. 따라서 2004년 이후 이 페이로드 유형을 사용하는 Avaya 폰은 더 이상 RFC를 준수하지 않습니다.그렇다면, 왜 이전 코드와 함께 작동했을까요?Avaya와 마찬가지로 일부 이전 코드(버전 8.0.x)는 여전히 이전 ID를 지원하므로그러나 최신 코드(버전 8.2.1+)는 새 RFC 값을 준수해야 하며 페이로드 유형15를 지원하지 않아야 합니다. 그러나 페이로드 유형15를 지원하는 다양한 버전을 찾을 수 있습니다. 이 경우 문제가 발생합니다.
Avaya는 기본 제공 VPN 클라이언트가 올바른 페이로드 ID를 사용하도록 전화기의 펌웨어를 수정해야 합니다.안타깝게도, 46xx Series와 같은 다른 Avaya 전화기는 더 이상 생산되지 않으며 문제를 해결하지 못합니다.이 경우 새 장비를 구하거나 ASA를 작동 중인 버전으로 다운그레이드해야 합니다.먼저 버그 수정을 위해 업그레이드한 경우에는 이 후자 옵션을 사용할 수 없습니다.이전 페이로드 ID로 작동하는 Cisco의 소프트웨어 버전은 모두 보고되고 해당 버전에서 해결된 문제가 해결되어야 합니다.