由于USG3000不支持IKEv2导致USG主动发起IPSec隧道协商失败

发布时间:  2014-09-20 浏览次数:  380 下载次数:  0
问题描述
组网结构:
如图4-13所示,USG和USG3000之间配置IPSec VPN,采用IKE方式协商IPSec隧道,对二者之间传输的数据进行加密。
图4-13 由于USG3000不支持IKEv2导致USG主动发起IPSec隧道协商失败组网图



USG3000能够主动发起IKE协商,且能够成功建立IPSec隧道,业务正常;USG也能够主动发起IKE协商,但无法建立IPSec隧道,业务不通。
处理过程
1. 如果USG采用的是策略模板方式来协商IPSec隧道,是不能主动发起IKE协商的。本案例中USG可以主动发起IKE协商,说明采用的不是策略模板方式。
2. USG支持IKEv1和IKEv2两种协商方式,主动发起IKE协商时默认采用IKEv2,而USG3000不支持IKEv2,导致协商失败。USG3000只支持IKEv1协商方式,主动发起IKE协商时,USG能够自适应地使用IKEv1响应,所以能够协商成功。
根因
如果USG3000设备先发起IKE协商,使用的是IKEv1,由于USG设备可以自适应地响应IKEv1或IKEv2,故可以建立起IPSec隧道;而当USG设备主动发起协商时,默认使用IKEv2,因此发起的是IKEv2的协商,对于对端USG3000设备而言,无法响应IKEv2的协商,因此IPSec隧道建立失败。
解决方案
1. 在USG的系统视图下执行命令ike peer peer_name,进入IKE Peer视图,peer_name是策略所引用的peer的名字。
2. 在USG的IKE Peer视图下,执行命令undo version 2,使USG采用IKEv1发起协商。

END