USG2100与juniper建立IPsec频繁中断

发布时间:  2016-01-15 浏览次数:  427 下载次数:  0
问题描述
防火墙设备USG2160和juniper的设备对接点对点IPsec,juniper设备只配置了IKEv1,会经常出现中断。
处理过程
开始处理在客户的诊断信息中发现 phase2:security acl mismatch  以及查看display ike sa和display ipsec sa发现应该是两端ACL感兴趣流不一致导致的。对于IKEv1来说,发起端感兴趣流必须小于或等于接收端的感兴趣流。 从设备发起协商可以建立第一和第二阶段。当Juniper发起重协商,IKE第一阶段成功,IKE第二阶段Security acl mismatch(感兴趣流不匹配)失败,将客户的配置感兴趣流进行检查,最好配置两边感兴趣流的完全镜像,缺省情况下,软超时时间是实际生效的硬超时时间的9/10,在防火墙上调小软超时时间,从而快于juniper侧发起重协商。

解决方案
修改两端的感兴趣流完全镜像,调小设备的软超时时间。消除IPsec隧道建立阶段不成功的根本原因。
建议与总结
防火墙安全设备和其他厂商设备对接IPsec,因为协议或者一些参数上的不一致,往往会出现各种比较奇怪的现象,这时候就要求能够从过程和原理上理解并找出故障的关键点,如果是几个因素,那就需要分别逐条罗列出来进行尝试,虽然从诊断信息来看是第二阶段建立不起来,但是第一阶段的类型才是解决这个问题的关键,一定要仔细、严谨。

END