IKE 密钥管理协议概述
IKE 是创建动态 SA的密钥管理协议;它协商 IPsec 的 SA。IKE 配置定义用于与对等安全网关建立安全连接的算法和密钥。
IKE 执行以下操作:
协商和管理 IKE 和 IPsec 参数
验证安全密钥交换
通过共享密钥(非密码)和公钥提供相互对等身份验证
提供身份保护(在主模式下)
IKE 分两个阶段发生。在第一阶段,它协商安全属性并建立共享密钥以形成双向 IKE SA。在第二阶段,建立入站和出站 IPsec SA。IKE SA 在第二阶段保护交换。IKE 还会生成密钥材料,提供完全向前保密,并交换身份。
从 Junos OS 14.2 版开始,当您对 jnxIkeTunnelTable 表中的 jnxIkeTunnelEntry 对象执行 SNMP 遍历时,可能会生成错误消息 Request failed: OID not increasing 。仅当创建同步互联网密钥交换安全关联 (IKE SA) 时,才会出现此问题,当 SA 的两端同时启动 IKE SA 协商时,会出现此问题。当执行 SNMP MIB 遍历以显示 IKE SA 时,snmpwalk 工具期望对象标识符 (OID) 按递增顺序排列。但是,在同时进行 IKE SA 的情况下,SNMP 表中的 OID 可能不会按递增顺序排列。出现此行为的原因是,作为 OID 一部分的隧道 ID 是根据 IKE SA 的发起方分配的,该发起方可以位于 IKE 隧道的任一端。
以下是在 IKE 同步 SA 上执行的 SNMP MIB 遍历的示例:
jnxIkeTunLocalRole."ipsec_ss_cust554".ipv4."192.0.2.41".47885 = INTEGER: responder(2) >>> This is Initiator SA jnxIkeTunLocalRole."ipsec_ss_cust554".ipv4."192.0.2.41".47392 = INTEGER: initiator(1) >>> This is Responder's SA
当 SNMP 遍历为隧道 ID(47885 和 47392)时,OID 比较失败。执行 SNMP 遍历时,无法确保隧道 ID 按递增顺序排列,因为隧道可能从任一端启动。
要变通解决此问题,SNMP MIB 遍历包含一个选项 -Cc,以禁用对增加的 OID 的检查。以下是使用 -Cc 选项在 jnxIkeTunnelEntry 表上执行的 MIB 遍历的示例:
snmpwalk -Os -Cc -c public -v 1 vira jnxIkeTunnelEntry
更改历史记录表
功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。
Request failed: OID not increasing 。