IKEv2 "Received Policies: : Failed to find a matching policy"
-
показать преобразование crypto ipsec - установить
преобразование crypto ipsec - установить по умолчанию <<- отключить преобразование по умолчанию ![Screenshot (989).png]
![Screenshot (990).png]
-
Отладка внутренней криптографии ikev2 Поделиться этим для обоих пиров
-
Решение ниже.
-
Показать криптографический протокол IPsec SA Показать криптографию ikev2 sa Поделиться этим также, MHM
-
Нет SA ikev2 ни на концентраторе, ни на спице. SPOKE IPSEC SA: show crypto ipsec sa interface: Tunnel4 Crypto map tag: Tunnel4-head-0, local addr 192.168.86.135 protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 100.100.100.3 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 192.168.86.135, remote crypto endpt.: 100.100.100.3 plaintext mtu 1500, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/0 current outbound spi: 0x0(0) PFS (Y/N): N, DH group: none inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: HUB IPSEC SA: interface: Tunnel7 Crypto map tag: Tunnel7-head-0, local addr 100.100.100.3 protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 151.196.127.11 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 38.108.181.3, remote crypto endpt.: 151.196.127.11 plaintext mtu 1500, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/0 current outbound spi: 0x0(0) PFS (Y/N): N, DH group: none inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas:
-
Набор преобразований должен быть изменен на следующий esp-aes 128 esp-sha-hmac MHM
-
@MHM Cisco World
написал:
Набор преобразований должен быть изменен на следующий
esp-aes 128 esp-sha-hmac
MHM Но почему? Почему я не могу использовать что-то более надежное? -
Какую платформу вы используете? Позвольте мне проверить ее спецификации, чтобы увидеть все наборы преобразований, которые она поддерживает. MHM
-
@MHM Cisco World
написал:
Какую платформу вы используете?
Позвольте мне проверить ее спецификации, чтобы увидеть все наборы преобразований, которые она поддерживает.
MHM C1111-4p с версией 17.6.6a и лицензией seck9. -
Abd для хаба и платформы MHM
-
@MHM Cisco World
написал:
Abd для хаба и платформы
MHM Концентратор — 4431 с версией 17.6.3a с усилительным модулем и seck9. -
нет предложения по шифрованию ikev2 по умолчанию <<- добавьте это как к spoke, так и к hub Затем используйте старое надежное шифрование и целостность. Я быстро проверяю, что оба поддерживают aes256 sha256 Но, возможно, используется предложение по умолчанию, а не конфигурация MHM
-
Попытка не увенчалась успехом, одно и то же сообщение как для 4431, так и для 1111: 4431(config)#no crypto ikev2 proposal default%
Невозможно удалить, так как предложение используется. Странно то, что при настройке набора преобразований на 1111 есть из чего выбирать, так что он явно их поддерживает: 1111(config)#crypto ipsec transform-set set-strong ? ah-md5-hmac AH-HMAC-MD5 transform ah-sha-hmac AH-HMAC-SHA transform ah-sha256-hmac AH-HMAC-SHA256 transform ah-sha384-hmac AH-HMAC-SHA384 transform ah-sha512-hmac AH-HMAC-SHA512 transform esp-192-aes ESP transform using AES cipher (192 bits) esp-256-aes ESP transform using AES cipher (256 bits) esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-aes ESP transform using AES cipher esp-des ESP transform using DES cipher (56 bits) esp-gcm ESP transform using GCM cipher esp-gmac ESP transform using GMAC cipher esp-md5-hmac ESP transform using HMAC-MD5 auth esp-null ESP transform w/o cipher esp-seal ESP transform using SEAL cipher (160 bits) esp-sha-hmac ESP transform using HMAC-SHA auth esp-sha256-hmac ESP transform using HMAC-SHA256 auth esp-sha384-hmac ESP transform using HMAC-SHA384 auth esp-sha512-hmac ESP transform using HMAC-SHA512 auth 1111(config)#crypto ipsec transform-set set-128 -
esp-256-aes Это так написано? Я вижу другое в show run ?? esp-aes 256 Попробуйте добавить, как показано в справке по команде MHM
-
@MHM Cisco World
написал: esp-256-aes Так написано? Я вижу другое в show run ?? esp-aes 256 Попробуйте добавить, как показано в справке по команде MHM Вот, пожалуйста: (config)#crypto ipsec transform-set strong-set esp-256-aes esp-sha256-hmac
(confg)#mode tunnel
!
crypto ipsec transform-set strong-set esp-aes 256 esp-sha256-hmac mode tunnel
crypto ipsec fragmentation after-encryption Что-то должно быть сломано или не так, баг или что-то еще, я не знаю. Я просто не могу настроить этот туннель с чем-либо, кроме самого низкого уровня шифрования/хеширования.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти