Túnel IPSec de aleteo

Problema: el túnel IPSec no está aleteando o el túnel IPSec está arriba pero no pasa el tráfico.

Causa: una de las razones del aleteo del túnel o de no pasar el tráfico es si el número SPI no es estable. Un error de software puede ser el problema, la duración de la fase 1 y la fase 2 no son las mismas, así que reintroducir está sucediendo. El ID de proxy no coinciden así que reintroducir está sucediendo con frecuencia.

Una asociación de seguridad está identificada de forma única por un triple consistente en un índice de parámetros de seguridad (SPI), una dirección de destino IP y un identificador de protocolo de seguridad (ah o ESP). SPI es un valor arbitrario de 32 bits que es utilizado por un receptor para identificar la SA a la que debe enlazarse un paquete entrante. El SPI es proporcionado para mapear el paquete entrante a un SA en el destino.

El número SPI se puede comprobar en el cortafuegos con el siguiente comando:

Mostrar VPN IPSec-SA

El número SPI debe permanecer estable hasta que un túnel se renegocie. Si este número está cambiando, entonces el túnel no será estable.

Ejemplo: en ambas capturas de pantallas, el número SPI está cambiando.

Resolución:

• Compruebe la duración de phase1 y Phase2--el tiempo debe ser el mismo.
• Compruebe si el identificador de proxy coincide o no.
• El problema podría ser debido a un error de software.