Linux拨IPSec网络不通,ISAKMP/IPSEC SA协商成功但数据不通

最新推荐文章于 2023-04-30 21:38:20 发布
VIP文章 最新推荐文章于 2023-04-30 21:38:20 发布
阅读量808 收藏 2
点赞数
文章标签: Linux拨IPSec网络不通

1、故障现象

在路由器上查看isakmp sa和ipsec sa都已经成功建立,但通过ipsec保护的业务无法正常通信

1)查看isakmp sa,成功建立:

Ruijie#show crypto isakmp sa

destination       source                      state                    conn-id           lifetime(second)

1.1.1.2               1.1.1.1                    IKE_IDLE                  33                16

2)查看ipsec sa,成功建立:

Ruijie#show crypto ipsec sa

.......

Inbound esp sas:

spi:0xce00b96 (216009622)

......

Outbound esp sas:

spi:0x3d71525c (1030836828)

......

3)通过ping或实际业务测试,发现通过ipsec保护的数据业务不通

2、故障可能原因

1)路由配置错误

2)感兴趣流配置错误

3)感兴趣流重叠

3、故障处理步骤

步骤1、检查IPSEC两端的路由配置

1)检查IPSEC客户端的路由,通过show ip route查看路由条目,确保去往中心网段路由的出口为已经配置了ipsec crypto map的出口。

2)检查IPSEC中心端的路由,通过show ip route查看路由条目,确保

最低0.47元/天 解锁文章
art 信贷
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IPsec体系结构及ISAKMP协议实现流程
01-10
IPsec体系结构;ISAKMP协议框架的实现;IKE协议的实现
防火墙配置了IPsec之后,数据到达防火墙上明明匹配了对应的安全策略但是却没有任何数据转发出去
qq_47529104的博客
12-31 1559
如图这是我搭建的一个拓扑,在防火墙的两端都配置了IPsec,在配置IPsec之前我已经保证了整个拓扑的连通性,同时两边的防火墙上配置了从trust区域到untrust区域以及untrust区域到trust区域的安全策略,保证数据不会因为安全策略而出现丢包。 现在的情况是这样的,当我仅仅放行了trust---untrust0以及untrust---trust区域之间的数据流动的时候会出现虽然匹配了安全策略但是确没有任何报文流出的情况。现在我就分析一下为什么: 当我们的数据报文流向防火墙的时候,IPse..
IPsec ISAKMP
weixin_33905756的博客
08-10 613
Interne 安全连接和密钥管理协议(ISAKMP)是 IPsec 体系结构中的一种主要协议。该协议结合认证、密钥管理和安全连接等概念来建立政府、商家和因特网上的私有通信所需要的安全。 因特网安全联盟和密钥管理协议(ISAKMP)定义了程序和信息包格式来建立,协商,修改和删除安全连接(SA)。SA 包括了各种网络安全服务执行所需的所有信息,这些安全服务包括 IP 层服...
LinuxIPSec网络不通,简单的ipsec 为何不通?(附配置摘要)
weixin_35943493的博客
05-10 267
R1--s1/0-------------------R2--s1/012.1.1.1 12.1.1.2各自loopback0 1.1.1.1 2.2.2.2 /24R1:crypto isakmp policy 1authentication pre-sharecrypto isakmp key cisco address 12.1.1.2!...
ipsec ike v1 isakmp和esp.pcap
12-08
ipsec ike v1 isakmp和esp解密-抓包联系,请搭配说明文档使用
IPSec中pluto框架和函数接口
03-29
该文档主要用来介绍IPsec是模块中pluto的框架、基本原理简介、函数调用关系、主要函数接口说明。例如包含:主模式和野蛮模式报文交互流程和函数接口、IKE协商、内核函数接口等
IPSEC:新一代因特网安全标准
04-15
7.1.3 策略协商 68 7.2 IKE 70 7.2.1 主模式交换 73 7.2.2 野蛮模式交换 76 7.2.3 快速模式交换 77 7.2.4 其他IKE交换 79 7.3 IPSec DOI 80 7.4 小结 81 第三部分 配置问题 第8章 策略 83 8.1 导引 83 8.2 策略定义...
ISAKMP协议pcap数据包下载;ISAKMP协议报文解析
03-24
ISAKMP协议pcap数据包下载,支持抓包软件(如:wireshark)打开并学习ISAKMP协议报文解析。需要其他协议,请查看我发布的其他资源。
ENSP ipsec isakmp(自动)
weixin_57193107的博客
05-22 428
一共六步 自动isakmp 1.ike安全提议 2.ike对等体 3.定义安全流量 4.定义ipsec 安全提议 5.ipsec 安全策略 6.端口应用 先搭建好拓扑图然后配置ip [AR6]interface GigabitEthernet0/0/0 [AR6-GigabitEthernet0/0/0]ip add 100.1.1.1 30 [AR6-GigabitEthernet0/0/0]int GigabitEthernet0/0/01 [AR6-Gigabit...
Linux内核中的IPSEC实现(6)
weixin_34380296的博客
05-14 415
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn 8. 安全协议 与IPSEC相关的安全协议是AH(51)和ESP(50), IPSEC使用这两个协议对普通数据包进行封装, AH只认证不加密, ...
×××中ipsecisakmp的实现(中)
weixin_34291004的博客
12-14 347
×××中ipsecisakmp的实现 说明:动态ipsec是通过isakmp的方法实现,是用户两端自动学习协商建立sa,无需手工建立。 注:由于实验条件有限,Internet有路由器代替模拟。 一、Fw-1的配置 [fw-1]inter eth0/0 [fw-1-Ethernet0/0]ip add 192.168.101.55 255...
ipsec技术isakmp(动态)应用
weixin_34337381的博客
12-14 373
IPSEC技术应用 isakmp模式 F1配置: [f1]inter eth0/0 [f1-Ethernet0/0]ip address 192.168.1.254 24 [f1-Ethernet0/0]loopback [f1-Ethernet0/0]inter eth0/1 [f1-Ethernet0/1]...
IPsec ISAKMP协议
weixin_34077371的博客
02-02 283
IPsec ISAKMP:Internet 安全连接和密钥管理协议(ISAKMP:Internet Security Association and Key Management Protocol)  Interne 安全连接和密钥管理协议(ISAKMP)是 IPsec 体系结构中的一种主要协议,它结合加密安全的概念,密钥管理和安全连接来建立政府,商家和因特网上的私有通信所需...
内网集群 无法通信_IPSEC连接成功,内网之间却无法互相通信。
weixin_35044945的博客
12-24 1679
大家好,最近正好有机会,再实战H3CMSR 36-40的IPSEC配置,经过参考一些网上的配置方案后,IPSEC可以连接,但是内网之间无法通信。百思不得其解,希望有大神可以帮忙看一下配置,为小弟解答,感激不尽!以下为配置方案MSR36-40 配置如下:version 7.1.059, Release 0304P15#sysname H3C#telnet server enable#dhcp ena...
IPsec中IKE与ISAKMP过程分析(主模式-消息5和消息6)
ryanzzzzz的博客
04-30 1202
消息5和消息6结构基本相同,都是经过IPsec通信双方实体相互鉴别和参数交换后各自生成共享密钥后,发送Hash数据结构鉴别前面的交换过程是否正确。 HASHi = PRF(SKEYID, CKY-I|CKY-R|SAi_b|IDi_b) HASHr = PRF(SKEYID,CKY-R|CKY-I|SAr_b|IDr_b) PRF是HMAC运算过程,这里按照之前的算法协议使用SM3-HMAC算法,密钥为SKEYID。
IPsec ISAKMP-术语简介
weixin_34221073的博客
03-27 320
IPsec ISAKMP:Internet 安全连接和密钥管理协议 (ISAKMP:Internet Security Association and Key Management Protocol)   Interne 安全连接和密钥管理协议(ISAKMP)是 IPsec 体系结构中的一种主要协议。该协议结合认证、密钥管理和安全连接等概念来建立政府、商家和因特网上的私有...
IPsec配置,连接成功后无法访问网站的解决办法, 以及本人参考配置的地址。
热门推荐
NullApple
11-30 1万+
https://quericy.me/blog/512
神州数码2855配置ipsec
最新发布
09-24
很抱歉,我无法提供具体的配置步骤和命令,因为根据提供的引用内容和问题描述,我无法得知神州数码2855的具体配置细节。但是,我可以告诉你一般情况下验证IPSEC配置是否正确的方法。您可以根据以下步骤进行验证: 1. 首先,您需要确保在两台设备上正确配置了IPSEC隧道。这包括正确配置ISAKMP策略、IPSEC策略和IPSEC传输模式。 2. 您可以使用命令或图形界面工具(如Wireshark)来检查ISAKMP SAIPSEC SA是否建立。这些SA(安全关联)是IPSEC隧道的重要组成部分。 3. 确保ISAKMP SAIPSEC SA均显示正常。如果ISAKMP SA显示连接成功,而IPSEC SA没有内容显示,则可能存在配置问题。 4. 如果ISAKMP SAIPSEC SA都显示正常,您可以尝试发送一些数据流经过IPSEC隧道,并使用Wireshark等工具捕获流量来验证数据是否被正确加密和认证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值