ike peer里proposa调用错误导致手机拨l2tp over ipsec失败

发布时间:  2014-12-30 浏览次数:  297 下载次数:  0
问题描述
        用户来电反馈参照案例配置了手机和PC同时拨l2tp over ipsec,用手机测试拨l2tp over ipsec的不成功。
处理过程
首先索要了客户的配置文件,附关键配置:
acl number 3005
rule 5 permit udp source-port eq 1701
#   
ike proposal 4
encryption-algorithm aes-cbc
dh group2
#     //手机  ike proposal默认参数
ike proposal 5
encryption-algorithm 3des-cbc
dh group2
#      //PC 自带客户端ike proposal 默认参数
ike peer 1
pre-shared-key %$%$3-![KH7QrRnF#SEi7+!Fi\SJ%$%$
nat  traversal
undo version 2
ike-proposal  5
#    
ipsec proposal 1
encapsulation-mode transport
esp authentication-algorithm sha1
esp encryption-algorithm aes
#  
ipsec proposal 5
encapsulation-mode transport
esp authentication-algorithm sha1
esp encryption-algorithm 3des
#  

  通过以上配置发现用户采用IKE V1版本,协商模式为主模式。在ike peer里面只调用了PC使用的 proposal  5(先调用了proposal  4再调用proposal  5导致4被覆盖)。根据IKE安全提议协商原则此时只会采用 proposal  5的安全提议来匹配,如果没有匹配的则协商失败。

IKE安全提议协商原则:
引用了已配置的IKE安全提议,则IKE协商时只发送引用的IKE安全提议,响应方在自己的IKE安全提议配置中寻找与之相匹配的IKE安全提议,如果没有匹配的则协商失败。
若没有引用IKE安全提议(例如同时支持预共享和证书认证时)
主模式:IKE协商时将发送发起方配置的所有IKE安全提议,响应方在自己的IKE安全提议中依次寻找参数与之匹配的IKE安全提议。
野蛮模式:IKE协商时将只发送缺省的IKE安全提议(default),响应方也会用缺省的IKE安全提议(default)匹配。

根因
 2个不同的IKE 安全提议,客户在ike peer里面只调用了其中的一个(PC的proposal  5)导致另外的一个(手机的proposal  4)匹配不上导致协商失败。
解决方案
 正确的配置应该是在ike peer里面不调用任何ike-proposal,协商时会尝试所有ike  proposal。
ike peer 1
pre-shared-key %$%$3-![KH7QrRnF#SEi7+!Fi\SJ%$%$
nat  traversal
undo version 2

END