문제
CAT8500 라우터에서 보안 액세스를 수행하도록 구성된 VTI(Virtual Tunnel Interface) 터널은 show crypto ipsec sa로 확인할 때 IPsec SA가 설정된 것으로 표시되지만, show crypto ikev2 sa로 확인할 때 IKEv2 SA가 협상 상태로 유지됩니다. 터널 인터페이스 회선 프로토콜이 다운되고 보안 액세스 측에서 연결이 끊긴 것으로 표시하여 터널이 제대로 설정되지 않도록 합니다.
환경
- 제품군: CAT850
- 소프트웨어 버전: 17.15.4c
- 기술: 보안 액세스 네트워크 터널(IPsec, Site-to-Site)
- 터널 유형: VTI(가상 터널 인터페이스)
- IKE 버전: IKEv2
해결
지원되는 ipsec 매개변수에 따르면
DH 그룹의 권장 값은 19,20입니다.
crypto ikev2 제안서 csse-G256
암호화 aes-gcm-256
prf sha256
group 1921. <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
키링 -
crypto ikev2 keyring csse_useast
피어 csse_virginia1
주소 x.x.x <<<<<<<<<<<<<<<<<<< Secure Access DC
사전 공유 키 로컬 <제거됨>
사전 공유 키 원격 <제거됨>
!
프로파일 - 네트워크 터널 그룹을 생성할 때 CSA UI의 tunnelID가 될 일치 ID 로컬 항목이 없습니다.
crypto ikev2 프로필 csse_virginia1
id 원격 주소 x.x.x.x 255.255.255.255 일치
인증 원격 사전 공유
인증 로컬 사전 공유
keyring local csse_useast(키링 로컬 csse_useast)
!
DH 그룹을 변경하면 추가된 일치 로컬 ID 문제가 수정됩니다.
원인
이 문제의 주요 원인은 일반적으로 IKEv2 프로필에 로컬 ID 컨피그레이션이 없거나 잘못되었습니다. Secure Access에서는 IKEv2 협상을 제대로 설정하려면 특정 ID 매개변수가 필요합니다. 또한 지원되지 않는 Diffie-Hellman 그룹(19 및 20 이외의 그룹)을 사용하면 Secure Access를 통한 IKEv2 협상이 성공하지 못할 수 있습니다.
관련 콘텐츠
피드백