Battement du tunnel IPSec

Problème: le tunnel IPSec ne bat pas ou le tunnel IPSec est en hausse mais ne passe pas le trafic.

CAUSE: une des raisons du battement du tunnel ou du non-passage du trafic est si le nombre de SPI n'est pas stable. Un bug logiciel peut être le problème, la durée de vie pour la phase 1 et la phase 2 ne sont pas les mêmes si recomposition se passe. ID proxy sont incompatibles afin recomposition se passe fréquemment.

Une association de sécurité est identifiée de façon unique par un triple composé d'un index de paramètres de sécurité (SPI), d'une adresse de destination IP et d'un identificateur de protocole de sécurité (AH ou ESP). SPI est une valeur arbitraire de 32 bits qui est utilisée par un récepteur pour identifier la sa à laquelle un paquet entrant doit être lié. Le SPI est fourni pour mapper le paquet entrant à une sa à la destination.

Le numéro SPI peut être vérifié sur le pare-feu à l'aide de la commande suivante:

afficher VPN IPSec-sa

Le nombre de SPI doit rester stable jusqu'à ce qu'un tunnel renégocie. Si ce numéro change, le tunnel ne sera pas stable.

Exemple: dans les deux screenshots, le nombre de SPI change.

Résolution:

• Vérifiez la durée de vie de phase1 et phase2--le temps devrait être le même.
• Vérifiez si l'ID de proxy correspond ou non.
• Le problème pourrait être à cause d'un bug logiciel.