ipsec与服务器协议失败,IPSEC SA无法协商成功

最新推荐文章于 2024-07-03 18:40:15 发布
最新推荐文章于 2024-07-03 18:40:15 发布
阅读量4.2k 收藏 5
点赞数
文章标签: ipsec与服务器协议失败

1、故障现象

通过IPSEC加密的业务无法正常开通,在IPSEC中心点或客户端路由器上执行show crypto isakmp sa命令发现isakmp sa已经成功建立:

Ruijie#show crypto isakmp sa

destination       source                      state                    conn-id           lifetime(second)

1.1.1.2               1.1.1.1                    IKE_IDLE                  33                16

但执行show crypto ipsec sa发现ipsec sa未成功建立。

通过show crypto ipsec sa查看ipsec sa协商情况。只有输出中已经包含协商完成了“Inbound esp sas:”“Outbound esp sas:”才说明ipsec sa已经协商完成。

Ruijie#show crypto ipsec sa

Interface: Async 1

Crypto map tag:3gtest

local ipv4 addr 135.2.18.23

media mtu 1500

==================================

sub_map type:static, seqno:1, id=1

local  ident (addr/mask/prot/port): (1

最低0.47元/天 解锁文章
wing glass
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ISAKMP - 安全关联协商
JwLee的专栏
10-20 3318
前面说过,ISAKMP主要有三个过程:SA协商、密钥交换和认证。本篇主要讨论SA协商。            首先要明白一个问题:为什么需要协商?为什么协议不规定使用某种特定的算法,这样实现上可以变得简单很多?            要回答这个问题,我们必须全面的审视网络通信的环境。所有的安全服务都与网络的配置和环境有关。互联网很有意思的一点在于,任何一台互联网设备可随时随地的接入,也可以
点到点 Ipsec *** 从一端能正常发起,另一端发起不成功的解决过程
weixin_34117211的博客
10-11 961
集团总部用的cisco 5540防火墙,上面配置了2个动态***,若干L2L***。集团总部到各分公司直接用lan to lan ipsce ***连接,部分分公司到集团总部的***能够双向发起,部分分公司,只能从集团端发起***后,才能成功建立隧道实现双向通信。下面具体描述下 解决问题的过程。 首先,肯定是debug了,显示第二阶段协商失败。********QM...
Packet Tracer - 使用 CLI 配置并验证站点间 IPsec VPN
傻傻的心动的博客
05-11 4046
Packet Tracer - 使用 CLI 配置并验证站点间 IPsec VPN
ipsec~strongSwan
whaosoft143ai的博客
06-12 1710
但是我这里是在使用VPP的vpp_sswan插件安装的,改了默认配置文件地址,在/etc中。最后排查发现,可能就是差了一个sudo systemctl restart strongswan.service,所以还是把这个服务给启动吧,然后上述解决步骤应该就不需要了。使用二进制包也行,就是用sudo apt install strongswan strongswan-swanctl,还有没有需要安装的我不晓得。按照那两个一开始的参考说的,现在使用的都是swanctl了,而不使用starter的方式了。
锐捷网络—VPN功能—IPSEC 扩展配置—IPSec DPD配置
君逍遥o
09-08 550
通过在分支上配置DPD技术来检测分支与总部间IPSEC对等体的存活情况,避免分支与总部间的通信中断、或者总部路由器上针对该分支相应的IPSEC SA被异常删除后,分支继续将加密数据发往总部,导致总部无法对这部分数据正常解密,数据通信中断。
IPSEC流程例子及两个阶段的协商过程详细介绍
热门推荐
wesleyhe的专栏
02-01 3万+
IPSEC VPN两个阶段的协商过程详细介绍 IPSec体系结构模型图   我们来看一个完整的IPSec体系结构模型图,以便更好地理解IPSec体系结构。   IPSec流程图 SAKMP/IKE第一阶段称为ISAKMP/IKE的管理连接阶段.使用双向的UDP端口为500的数据连接,来共享IPSEC消息. 第一阶段 有主模式和积极模式2种
通信与网络中的基于SoC的IPSec协议实现技术
12-13
soC将系统的CPU、I/O接口、存储器、算法、协议处理等模块全部集成到单一半导体芯片上,实现IPSec协议的全部功能,成为构筑IPSec安全设备的核心部件,极大地提高了高速V。PN网络的安全性、可靠性、时效性以及较高的...
Linux 内核IPSec(xfrm)协议栈源码分析
06-21
《Linux 内核 IPSec 协议栈源码分析》 1. 前言 在Linux内核中,IPSec(Internet Protocol Security)是一种网络安全协议,用于在IP层提供安全服务,包括加密和完整性保护。它基于XFRM(eXtensible Framework for ...
基于DES算法的IPSec协议安全性改进
01-12
 IPSec协议安全性直接关系到IP...结果表明:与改进前相比,利用改进后的IPSec协议对明文进行加密处理,发现每一次加密结果都不相同,由此说明DES算法更能够实现加密结果的不可预测,极大改进了IPSec协议的安全性。
基于IPSec安全协议的网络数据传输入侵检测模型
01-12
传统网络数据入侵检测模型的检测时间长,检测结果准确率低。...为了验证模型效果,与传统入侵检测模型进行实验对比,结果表明,基于IPSec安全协议的网络数据传输入侵检测模型能够在短时间内精准地检测到入侵行为。
华为ipsec ike协商配置.rar
04-22
本资源是以ensp模拟器形式搭建的一个小型IPSec IKE模式。总共用了3台路由器,中间一台做充当转发器,其他两台进行ipsec搭建,并配置静态路由指向中间路由器。如需要学习的,可自行下载进行参考。ip什么的,就自己...
SWAN之ikev2协议inactivity-timeout配置测试
redwingz的博客
11-06 819
本测试主要验证carol与sun网关建立连接,同时carol设置inactivity空闲时长为10秒,在超时之后删除连接的功能。本次测试拓扑如下: 配置 carol的配置文件:ikev2/inactivity-timeout/hosts/carol/etc/ipsec.conf,内容如下,inactivity字段指定空闲时长为10秒,超过此时长,将删除建立的子连接。 conn %default ...
思科防火墙查如何查看现有ipsec隧道信息
玩人工智能的辣条哥的博客
05-03 470
思科ASA5555。
锐捷网络—VPN功能—IPSec VPN 常见问题和故障
君逍遥o
09-13 3339
IPSec (IP Security )是一种由IETF设计的端到端的确保IP层通信安全的机制。 IPSec协议可以为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击。 IPSec不是一个单独的协议,而是一组协议IPSec协议的定义文件包括了12个RFC文件和几十个Internet草案,已经成为工业标准的网络安全协议
IPSec IKE一阶段协商失败,报文提示INVALID-ID-INFORMATION(18)
沉默的鹏先生
05-26 6529
环境拓扑: FW1 --- internet --- FW2 环境配置: 双方野蛮模式协商,配置对等体ID。 问题: FW1收到FW2发送的请求后,返回的响应报文是Informational 报文: 原因: INVALID-ID-INFORMATION(18)指对端发送的加密算法或者认证算法或者对等体ID和本端的配置不一致。 ...
华为ISAKMP的介绍配置实例以及故障案例分析-(值得收藏学习)
最新发布
满地找牙的博客
07-03 858
ISAKMP(Internet Security Association and Key Management Protocol),即互联网安全关联和密钥管理协议,是IPsec(Internet Protocol Security)协议套件的一个核心组件
神州数码防火墙与路由器之间配置IPSec
m0_60264054的博客
05-22 1502
防火墙与路由器之间配置IPSec
防火墙Ipsec vpn的配置
zljszn的博客
10-19 1万+
FW1-object-service-set-ike]service protocol udp destination-port 500 //添加IKE的服务,因为IKE的服务使用的事udp的500端口。rule name trust-untrust(双向访问,所以需要允许trust访问untrust区域,也需要允许untrust访问trust区域)4. 防火墙桥接物理网卡,开启网管界面,具体桥接的方式就不在介绍了,之前的文章有具体讲解ENSP怎么桥接物理网卡。ipsec的配置(FW2也一样)
IPSec协议详解:协商、安全机制与应用
Phase 1 得到的ISAKMP SA用于后续的Phase 2,而Phase 2协商后的IPSec SA则用于封装和保护实际的IP数据包。 2. 基本元素与数据库 - SPD (Security Policy Database): IPSec的策略数据库,定义了允许哪些流量通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值