USG2200同一个公网接口下既有模板方式IPSEC也有IKE方式IPSEC时,IKE方式不能建立IPSEC隧道

发布时间:  2015-03-11 浏览次数:  133 下载次数:  0
问题描述

某客户公网的一台USG2200只有一个公网接口配置有公网IP地址,客户原使用该接口采用模板对外提供L2TP OVER IPSEC服务。现在由于有一个新的分公司需要加入总公司,并且采用的加密算法与原IPSEC所使用的不一致,在同一个接口下配置IKE后与对端无法建立IPSEC隧道。关键配置信息如下:

ipsec policy-template temp 1
security acl 3100
ike-peer b10
proposal a10
#
ipsec policy d1 1 isakmp template temp
#
ipsec policy d1 2 isakmp
security acl 3001
ike-peer e3260
proposal ipsec                          
local-address XX.XX.XX.XX
sa duration traffic-based 1843200
sa duration time-based 3600
#
interface GigabitEthernet0/0/0
ip address XX.XX.XX.XX XX.XX.XX.XX

ipsec policy d1 auto-neg
nat enable
detect ftp

告警信息

初次检查配置没有发现问题,日志里面有告警:

2015-03-09 20:45:35 F100-A-G %%01IKE/4/WARNING(l): phase1: proposal mismatch, please check ike proposal configuration  

处理过程

检查客户配置后发现无问题,尝试让客户将L2TP的IPSEC部分删除,只使用IKE与对端建立站点到站点的隧道可以正常的建立,后再将模板再次配置上去后发现L2TP的以及站点隧道均正常,此时的配置命令如下:

ipsec policy d1 10 isakmp template temp ,编号由1变为了10,优先级比IKE的低。

根因

当IPSEC的子策略既有使用非模板方式,又有使用模板方式时,只能最后一个子策略才可以引用模板方式,否则在模板方式后的子策略因为永远不会有ACL匹配而失效。

解决方案
当同一个接口上既配置有模板方式的策略也配置有非模板时,必须配置IKE方式的优先级比模板的优先级高。

END