使用CAT8500上的IKEv2交涉問題確儲存取的VTI通道

下載選項

  • PDF     (298.0 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (78.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (62.0 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2026 年 3 月 17 日
文件 ID:225619

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

目錄

問題

配置為在CAT8500路由器上安全訪問的VTI(虛擬通道介面)隧道在使用show crypto ipsec sa進行檢查時顯示IPsec SA已建立,但在使用show crypto ikev2 sa進行檢視時,IKEv2 SA保持協商狀態。通道介面線路通訊協定已關閉,且安全存取端顯示連線已斷開,導致通道無法正確建立。

環境

  • 產品系列:CAT8500
  • 軟體版本:17.15.4c
  • 技術:安全存取網路通道(IPsec、站點到站點)
  • 通道型別:VTI(虛擬通道介面)
  • IKE版本:IKEv2

解析

根據我們支援的ipsec引數 —  

DH組的建議值為19,20。 

crypto ikev2建議csse-G256

 加密aes-gcm-256

 prf sha256

 組19 21。 <<<<<<<<<<<<<<<<<<<<<<<<<

Keyring - 

crypto ikev2 keyring csse_useast

 peer csse_virginia1

  address x.x.x.x.x <<<<<<<<<<<<<安全接入DC

  pre-shared-key local <removed>

  pre-shared-key remote <removed>

 ! 

Profile - 缺少匹配身份local,該身份將在我們建立網路隧道組時成為CSA UI中的tunnelID。

crypto ikev2 profile csse_virginia1

 match identity remote address x.x.x.x 255.255.255.255 

 身份驗證遠端預共用

 身份驗證本地預共用

 keyring local csse_useast

!

更改DH組後,新增的match local identity問題將得到解決。

原因

此問題的主要原因通常是IKEv2配置檔案中缺少本地身份配置或不正確。安全訪問需要特定的身份引數來正確建立IKEv2協商。此外,使用不受支援的Diffie-Hellman組(19和20以外的組)可能會阻止使用安全訪問成功進行IKEv2協商。

相關內容

修訂記錄

修訂 發佈日期 意見
1.0
17-Mar-2026
初始版本
TAC Authored

由思科工程師貢獻

  • 阿米特·阿羅拉
    技術諮詢工程師

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品