IPSec 域间策略常见问题

目录

  • 1. 网络拓扑
    • 1.1 清除IPSec安全联盟
    • 1.2 清除IPSec统计信息
    • 1.3 清除IKE安全联盟
  • 2 域间安全策略调试
    • 2.1 USG A 状态为NEG--NEGOTIATING
      • 2.1.1 查看iks sa状态
      • 2.1.2 PC1 ping PC3,抓包查看只有Request包
    • 2.1.3 原因
    • 2.2 USG A 状态为RD|ST
      • 2.2.1 查看iks sa状态
      • 2.1.2 PC1 ping PC3,抓包查看有Request和Response包
      • 2.1.3 原因
    • 2.3 PC1与PC3直接
      • 2.3.1 PC1能ping PC3,但是PC3不能ping PC1
      • 2.3.2 域间安全配置

1. 网络拓扑

IPSec 域间策略常见问题_第1张图片

1.1 清除IPSec安全联盟

如果用户需要对安全策略重新配置,为了使新配置的安全策略生效,可以执行下列操作清除IPSec安全联盟。

reset ipsec  sa

说明:

  • 此操作将只清除通过手工方式建立的安全联盟和通过IKE协商建立的阶段2的安全联盟。如果未指定参数,则清除所有通过手工方式建立的和通过IKE协商建立的阶段2的安全联盟。
  • 对于通过Manual方式协商建立的安全联盟,被清除后系统会根据手工设置的参数立即创建新的安全联盟。
  • 对于通过IKE方式协商建立的安全联盟,被清除后如果有报文重新触发IKE协商,IKE将重新协商建立安全联盟。
  • 如果指定参数parameters,由于安全联盟是成对出现的,清除了一个方向安全联盟的参数,另一个方向安全联盟的参数也随之被清除。

1.2 清除IPSec统计信息

当对IPSec进行调试时,如果IPSec的统计信息比较多不便于查看,可以执行以下操作清除IPSec统计信息。

reset ipsec  statistics 

1.3 清除IKE安全联盟

如果用户需要对安全策略重新配置,为了使新配置的安全策略生效,可以执行下列操作清除IKE安全联盟。

reset ike sa 

说明:
清除IKE安全联盟时需要注意:

  • 在清除指定的安全联盟时,需要指定connection-id,通过命令display ike sa可以显示当前安全联盟的connection-id信息。
  • 清除本地的安全联盟时,如果阶段1的ISAKMP SA还存在,将在此安全联盟的保护下向对端发送清除消息,通知对方清除安全联盟数据库。
  • 如果未指定connection-id,所有的阶段1的安全联盟都会被清除。

2 域间安全策略调试

假设其他配置都正确,只有域间安全策略配置异常情况下

2.1 USG A 状态为NEG–NEGOTIATING

2.1.1 查看iks sa状态

IPSec 域间策略常见问题_第2张图片

2.1.2 PC1 ping PC3,抓包查看只有Request包

IPSec 域间策略常见问题_第3张图片

2.1.3 原因

因为此时只有USGA配置了域间安全策略,USGC没有配置

IPSec 域间策略常见问题_第4张图片

2.2 USG A 状态为RD|ST

RD–READY ST–STAYALIVE

2.2.1 查看iks sa状态

IPSec 域间策略常见问题_第5张图片

2.1.2 PC1 ping PC3,抓包查看有Request和Response包

IPSec 域间策略常见问题_第6张图片

2.1.3 原因

因为此时只有USGA和USGC都配置了域间安全策略

USGA
IPSec 域间策略常见问题_第7张图片

USGC
IPSec 域间策略常见问题_第8张图片

2.3 PC1与PC3直接

2.3.1 PC1能ping PC3,但是PC3不能ping PC1

IPSec 域间策略常见问题_第9张图片

2.3.2 域间安全配置

USGA没有配置 trust untrust inbound

IPSec 域间策略常见问题_第10张图片
USGC 有配置 trust untrust inbound

IPSec 域间策略常见问题_第11张图片

你可能感兴趣的:(#,防火墙,网络,域间安全策略)