本页内容
使用证书配置基于策略的 IPsec VPN
此示例说明如何配置、验证 PKI 和排除故障。本主题包含以下部分:
要求
此示例使用以下硬件和软件组件:
Junos OS 9.4 或更高版本
瞻博网络安全设备
开始之前:
确保 SRX 系列防火墙的内部 LAN 接口在区域信任中为 ge-0/0/0,并具有专用 IP 子网。
确保设备的互联网接口在不信任区域中为 ge-0/0/3,并具有公共 IP。
确保允许本地和远程 LAN 之间的所有流量,并且可以从任一端启动流量。
确保 SSG5 已正确预配置,并加载了即用型本地证书、证书颁发机构证书和 CRL。
确保将 SSG5 设备配置为使用 ssg5.example.net 的 FQDN (IKE ID)。
确保将带有 1024 位密钥的 PKI 证书用于双方的 IKE 协商。
确保证书颁发机构是两个 VPN 对等方域 example.com 上的独立证书颁发机构。
概述
图 1 显示了此示例所用的网络拓扑结构,用于配置基于策略的 IPsec VPN,以便在公司办公室和远程办公室之间安全地传输数据。
PKI 管理对于基于策略的 VPN 和基于路由的 VPN 都是相同的。
在此示例中,VPN 流量通过接口 ge-0/0/0.0 传入,下一跃点为 10.1.1.1。因此,流量在接口 ge-0/0/3.0 上传出。任何隧道策略都必须考虑传入和传出接口。
或者,您可以使用动态路由协议,例如 OSPF(本文档中未介绍)。处理新会话的第一个数据包时,运行 Junos OS 的设备会先执行路由查找。静态路由也是默认路由,它规定了传出 VPN 流量的区域。
许多 CA 使用主机名(例如 FQDN)来指定 PKI 的各个元素。由于 CDP 通常使用包含 FQDN 的 URL 进行指定,因此您必须在运行 Junos OS 的设备上配置 DNS 解析器。
证书请求可通过以下方法生成:
创建证书颁发机构配置文件以指定证书颁发机构设置
生成 PKCS10 证书请求
PKCS10 证书请求过程涉及生成公钥或私钥对,然后使用密钥对生成证书请求本身。
请注意有关 证书颁发机构配置文件的以下信息:
证书颁发机构配置文件定义证书颁发机构的属性。
每个 证书颁发机构配置文件都与一个 证书颁发机构证书相关联。如果需要在不删除旧的证书颁发机构证书的情况下加载新的或续订的证书颁发机构证书,则必须创建新的配置文件。此配置文件也可用于在线获取 CRL。
系统中可能存在多个为不同用户创建的此类配置文件。
如果指定要向其发送证书请求的证书颁发机构管理员电子邮件地址,则系统将从证书请求文件撰写电子邮件并将其转发到指定的电子邮件地址。将向管理员发送电子邮件状态通知。
证书请求可以通过带外方法发送到 证书颁发机构。
以下选项可用于生成 PKCS10 证书请求:
certificate-id— 本地数字证书和公钥/私钥对的名称。这可确保将正确的密钥对用于证书请求,并最终用于本地证书。从 Junos OS 19.1R1 版开始,添加了提交检查,以防止用户在生成本地或远程证书或密钥对时在证书标识符中添加
.、/、%和空格。subject— 包含通用名称、部门、公司名称、州和国家/地区的可分辨名称格式:CN — 通用名称
OU — 部门
O — 公司名称
L — 局部
ST — 状态
C — 国家/地区
CN — 电话
DC — 域组件
您不需要输入所有主题名称组件。另请注意,您可以输入每种类型的多个值。
domain-name— FQDN。FQDN 为 IKE 协商提供证书所有者的标识,并提供使用者名称的替代项。filename (path | terminal)— (可选)应发出证书请求的位置或登录终端。ip-address— (可选)设备的 IP 地址。email— (可选)证书颁发机构管理员的电子邮件地址。您必须使用域名、IP 地址或电子邮件地址。
生成的证书请求存储在指定的文件位置。证书请求的本地副本将保存在本地证书存储中。如果管理员重新发出此命令,将再次生成证书请求。
PKCS10 证书请求存储在指定的文件和位置中,您可以从中下载它并将其发送到 证书颁发机构进行注册。如果尚未指定文件名或位置,则可以使用 CLI 中的命令获取 show security pki certificate-request certificate-id <id-name> PKCS10 证书请求详细信息。您可以复制命令输出并将其粘贴到 证书颁发机构服务器的 Web 前端或电子邮件中。
PKCS10 证书请求将生成并作为挂起的证书或证书请求存储在系统上。系统会向证书颁发机构管理员发送电子邮件通知(在本例中为 certadmin@example.com)。
名为 certificate-ID 的唯一标识用于命名生成的密钥对。此 ID 还用于证书注册和请求命令以获取正确的密钥对。生成的密钥对保存在证书存储中与证书 ID 同名的文件中。文件大小可以是 1024 位或 2048 位。
如果设备中未预安装中间 CA,则可以创建默认(回退)配置文件。默认配置文件值在没有专门配置的 证书颁发机构配置文件的情况下使用。
对于 CDP,遵循以下顺序:
每个证书颁发机构配置文件
CDP 嵌入 证书颁发机构 证书
默认证书颁发机构配置文件
我们建议使用特定的 证书颁发机构档案,而不是默认档案。
管理员将证书请求提交给证书颁发机构。证书颁发机构管理员验证证书请求,并为设备生成新证书。瞻博网络设备的管理员将检索该设备以及 证书颁发机构证书和 CRL。
从 证书颁发机构 检索 证书颁发机构 证书、设备的新本地证书和 CRL 的过程取决于所使用的证书颁发机构配置和软件供应商。
Junos OS 支持以下 CA 证书颁发机构供应商:
委托
威瑞信
Microsoft
虽然其他 证书颁发机构软件服务(如 OpenSSL)可用于生成证书,但 Junos OS 不会验证这些证书。
配置
PKI 基本配置
分步程序
下面的示例要求您在各个配置层级中进行导航。有关操作说明,请参阅《Junos OS CLI 用户指南》中的在配置模式下使用CLI编辑器。
要配置 PKI:
在千兆以太网接口上配置 IP 地址和协议家族。
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@host# set ge-0/0/3 unit 0 family inet address 10.1.1.2/30
配置到互联网下一跃点的默认路由。
[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
设置系统时间和日期。
[edit] user@host# set system time-zone PST8PDT
完成配置后,使用
show system uptime命令验证时钟设置。user@host> show system uptime Current time: 2007-11-01 17:57:09 PDT System booted: 2007-11-01 14:36:38 PDT (03:20:31 ago) Protocols started: 2007-11-01 14:37:30 PDT (03:19:39 ago) Last configured: 2007-11-01 17:52:32 PDT (00:04:37 ago) by root 5:57PM up 3:21, 4 users, load averages: 0.00, 0.00, 0.00
设置 NTP 服务器地址。
user@host> set date ntp 130.126.24.24 1 Nov 17:52:52 ntpdate[5204]: step time server 172.16.24.24 offset -0.220645 sec
设置 DNS 配置。
[edit] user@host# set system name-server 172.31.2.1 user@host# set system name-server 172.31.2.2
配置 证书颁发机构配置文件
分步程序
-
创建受信任的 CA 证书颁发机构配置文件。
[edit] user@host# set security pki ca-profile ms-ca ca-identity example.com
-
创建吊销检查以指定检查证书吊销的方法。
设置刷新间隔(以小时为单位)以指定更新 CRL 的频率。默认值为 CRL 中的下一次更新时间,如果未指定下一次更新时间,则为 1 周。
[edit] user@host# set security pki ca-profile ms-ca revocation-check crl refresh-interval 48
在配置语句中
revocation-check,您可以使用禁用disable撤销检查的选项,也可以选择配置crlCRL 属性的选项。当 证书颁发机构 配置文件的 CRL 下载失败时,您可以选择disable on-download-failure允许与 证书颁发机构 配置文件匹配的会话的选项。仅当同一证书颁发机构档案中不存在旧 CRL 时,才允许这些会话。 -
指定要检索 CRL(HTTP 或 LDAP)的位置 (URL)。默认情况下,URL 为空,并使用 CA 证书中嵌入的 CDP 证书颁发机构信息。
[edit] user@host# set security pki ca-profile ms-ca revocation-check crl url http://srv1.example.com/CertEnroll/EXAMPLE.crl
目前只能配置一个 URL。不支持备份 URL 配置。
-
指定电子邮件地址以将证书请求直接发送给证书颁发机构管理员。
user@host# set security pki ca-profile ms-ca administrator email-address certadmin@example.com
-
提交配置:
user@host# commit and-quit
commit completeExiting configuration mode
生成公钥-私钥对
分步程序
配置证书颁发机构配置文件后,下一步是在瞻博网络设备上生成密钥对。要生成私钥和公钥对:
创建证书密钥对。
user@host> request security pki generate-key-pair certificate-id ms-cert size 1024
结果
生成公钥-私钥对后,瞻博网络设备将显示以下内容:
Generated key pair ms-cert, key size 1024 bits
注册本地证书
分步程序
-
以 PKCS-10 格式生成本地数字证书请求。请参阅 请求安全 pki generate-certificate-request。
user@host> request security pki generate-certificate-request certificate-id ms-cert subject "CN=john doe,CN=10.1.1.2,OU=sales,O=example, L=Sunnyvale,ST=CA,C=US" email user@example.net filename ms-cert-req Generated certificate request -----BEGIN CERTIFICATE REQUEST----- MIIB3DCCAUUCAQAwbDERMA8GA1UEAxMIam9obiBkb2UxDjAMBgNVBAsTBXNhbGVz MRkwFwYDVQQKExBKdW5pcGVyIE5ldHdvcmtzMRIwEAYDVQQHEwlTdW5ueXZhbGUx CzAJBgNVBAgTAkNBMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAw gYkCgYEA5EG6sgG/CTFzX6KC/hz6Czal0BxakUxfGxF7UWYWHaWFFYLqo6vXNO8r OS5Yak7rWANAsMob3E2X/1adlQIRi4QFTjkBqGI+MTEDGnqFsJBqrB6oyqGtdcSU u0qUivMvgKQVCx8hpx99J3EBTurfWL1pCNlBmZggNogb6MbwES0CAwEAAaAwMC4G CSqGSIb3DQEJDjEhMB8wHQYDVR0RBBYwFIESInVzZXJAanVuaXBlci5uZXQiMA0G CSqGSIb3DQEBBQUAA4GBAI6GhBaCsXk6/1lE2e5AakFFDhY7oqzHhgd1yMjiSUMV djmf9JbDz2gM2UKpI+yKgtUjyCK/lV2ui57hpZMvnhAW4AmgwkOJg6mpR5rsxdLr 4/HHSHuEGOF17RHO6x0YwJ+KE1rYDRWj3Dtz447ynaLxcDF7buwd4IrMcRJJI9ws -----END CERTIFICATE REQUEST----- Fingerprint: 47:b0:e1:4c:be:52:f7:90:c1:56:13:4e:35:52:d8:8a:50:06:e6:c8 (sha1) a9:a1:cd:f3:0d:06:21:f5:31:b0:6b:a8:65:1b:a9:87 (md5)
在 PKCS10 证书的示例中,请求以 BEGIN CERTIFICATE REQUEST 行开头并包含 BEGIN CERTIFICATE REQUEST 行,并以 END CERTIFICATE REQUEST 行结尾。此部分可以复制并粘贴到您的证书颁发机构进行注册。或者,还可以卸载 ms-cert-req 文件并将其发送到证书颁发机构。
-
将证书请求提交给证书颁发机构,并检索证书。
加载证书颁发机构和本地证书
分步程序
加载本地证书、证书颁发机构证书和 CRL。
user@host> file copy ftp://192.168.10.10/certnew.cer certnew.cer /var/tmp//...transferring.file.........crYdEC/100% of 1459 B 5864 kBps user@host> file copy ftp:// 192.168.10.10/CA-certnew.cer CA-certnew.cer /var/tmp//...transferring.file.........UKXUWu/100% of 1049 B 3607 kBps user@host> file copy ftp:// 192.168.10.10/certcrl.crl certcrl.crl /var/tmp//...transferring.file.........wpqnpA/100% of 401 B 1611 kBps
您可以使用命令
file list验证是否已上传所有文件。将证书从指定的外部文件加载到本地存储中。
还必须指定证书 ID 以保持与私有密钥或公钥对的正确链接。此步骤将证书加载到 PKI 模块的 RAM 缓存存储中,检查关联的私钥并验证签名操作。
user@host> request security pki local-certificate load certificate-id ms-cert filename certnew.cer Local certificate loaded successfully
从指定的外部文件加载 CA 证书颁发机构证书。
您必须指定 证书颁发机构 配置文件,以便将 证书颁发机构 证书关联到配置的配置文件。
user@host> request security pki ca-certificate load ca-profile ms-ca filename CA-certnew.cer Fingerprint: 1b:02:cc:cb:0f:d3:14:39:51:aa:0f:ff:52:d3:38:94:b7:11:86:30 (sha1) 90:60:53:c0:74:99:f5:da:53:d0:a0:f3:b0:23:ca:a3 (md5) Do you want to load this CA certificate ? [yes,no] (no) yes CA certificate for profile ms-ca loaded successfully
将 CRL 加载到本地存储中。
CRL 的最大大小为 5 MB。您必须在命令中指定关联的 证书颁发机构配置文件。
user@host> request security pki crl load ca-profile ms-ca filename certcrl.crl CRL for CA profile ms-ca loaded successfully
结果
验证是否已加载所有本地证书。
user@host> show security pki local-certificate certificate-id ms-cert detail Certificate identifier: ms-cert Certificate version: 3 Serial number: 3a01c5a0000000000011 Issuer: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: LAB Subject: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: john doe Alternate subject: "user@example.net", fqdn empty, ip empty Validity: Not before: 11- 2-2007 22:54 Not after: 11- 2-2008 23:04 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:e4:41:ba:b2:01:bf:09:31:73:5f:a2:82:fe 1c:fa:0b:36:a5:d0:1c:5a:91:4c:5f:1b:11:7b:51:66:16:1d:a5:85 15:82:ea:a3:ab:d7:34:ef:2b:39:2e:58:6a:4e:eb:58:03:40:b0:ca 1b:dc:4d:97:ff:56:9d:95:02:11:8b:84:05:4e:39:01:a8:62:3e:31 31:03:1a:7a:85:b0:90:6a:ac:1e:a8:ca:a1:ad:75:c4:94:bb:4a:94 8a:f3:2f:80:a4:15:0b:1f:21:a7:1f:7d:27:71:01:4e:ea:df:58:bd 69:08:d9:41:99:98:20:36:88:1b:e8:c6:f0:11:2d:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: ldap:///CN=LAB,CN=LABSRV1,CN=CDP,CN=Public%20Key%20Services,CN=Services, CN=Configuration,DC=domain,DC=com?certificateRevocationList?base? objectclass=cRLDistributionPoint http://labsrv1.domain.com/CertEnroll/LAB.crl Fingerprint: c9:6d:3d:3e:c9:3f:57:3c:92:e0:c4:31:fc:1c:93:61:b4:b1:2d:58 (sha1) 50:5d:16:89:c9:d3:ab:5a:f2:04:8b:94:5d:5f:65:bd (md5)
您可以通过在命令行中指定 certificate-ID 来显示单个证书详细信息。
验证所有证书颁发机构证书或单个证书颁发机构配置文件(指定)的证书颁发机构证书。
user@host> show security pki ca-certificate ca-profile ms-ca detail Certificate identifier: ms-ca Certificate version: 3 Serial number: 44b033d1e5e158b44597d143bbfa8a13 Issuer: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: example Subject: Organization: Example, Organizational unit: example, Country: US, State: CA, Locality: Sunnyvale, Common name: example Validity: Not before: 09-25-2007 20:32 Not after: 09-25-2012 20:41 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d1:9e:6f:f4:49:c8:13:74:c3:0b:49:a0:56 11:90:df:3c:af:56:29:58:94:40:74:2b:f8:3c:61:09:4e:1a:33:d0 8d:53:34:a4:ec:5b:e6:81:f5:a5:1d:69:cd:ea:32:1e:b3:f7:41:8e 7b:ab:9c:ee:19:9f:d2:46:42:b4:87:27:49:85:45:d9:72:f4:ae:72 27:b7:b3:be:f2:a7:4c:af:7a:8d:3e:f7:5b:35:cf:72:a5:e7:96:8e 30:e1:ba:03:4e:a2:1a:f2:1f:8c:ec:e0:14:77:4e:6a:e1:3b:d9:03 ad:de:db:55:6f:b8:6a:0e:36:81:e3:e9:3b:e5:c9:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: ldap:///CN=LAB,CN=LABSRV1,CN=CDP,CN=Public%20Key%20Services,CN=Services, CN=Configuration,DC=domain,DC=com?certificateRevocationList?base? objectclass=cRLDistributionPoint http://srv1.domain.com/CertEnroll/LAB.crl Use for key: CRL signing, Certificate signing, Non repudiation Fingerprint: 1b:02:cc:cb:0f:d3:14:39:51:aa:0f:ff:52:d3:38:94:b7:11:86:30 (sha1) 90:60:53:c0:74:99:f5:da:53:d0:a0:f3:b0:23:ca:a3 (md5)
验证所有加载的 CRL 或指定单个证书颁发机构配置文件的 CRL。
user@host> show security pki crl ca-profile ms-ca detail CA profile: ms-ca CRL version: V00000001 CRL issuer: emailAddress = certadmin@example.net, C = US, ST = CA, L = Sunnyvale, O = Example, OU = example, CN = example Effective date: 10-30-2007 20:32 Next update: 11- 7-2007 08:52
验证本地证书和 证书颁发机构证书的证书路径。
user@host> request security pki local-certificate verify certificate-id ms-cert Local certificate ms-cert verification success user@host> request security pki ca-certificate verify ca-profile ms-ca CA certificate ms-ca verified successfully
使用证书配置 IPsec VPN
分步程序
要使用证书配置 IPsec VPN,请参阅图 1 中所示的网络图
配置安全区域并为这些区域分配接口。
在此示例中,数据包通过 传入
ge-0/0/0,入口区域即为信任区域。[edit security zones security-zone] user@host# set trust interfaces ge-0/0/0.0 user@host# set untrust interfaces ge-0/0/3.0
为每个区域配置主机入站服务。
主机入站服务适用于发往瞻博网络设备的流量。这些设置包括但不限于 FTP、HTTP、HTTPS、IKE、ping、rlogin、RSH、SNMP、SSH、Telnet、TFTP 和 traceroute。
[edit security zones security-zone] user@host# set trust host-inbound-traffic system-services all user@host# set untrust host-inbound-traffic system-services ike
为每个区域配置地址簿条目。
[edit security zones security-zone] user@host# set trust address-book address local-net 192.168.10.0/24 user@host# set untrust address-book address remote-net 192.168.168.0/24
将 IKE(第 1 阶段)提议配置为使用 RSA 加密。
[edit security ike proposal rsa-prop1] user@host# set authentication-method rsa-signatures user@host# set encryption-algorithm 3des-cbc user@host# set authentication-algorithm sha1 user@host# set dh-group group2
配置 IKE 策略。
第 1 阶段交换可以在主模式或积极模式下进行。
[edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals rsa-prop1 user@host# set certificate local-certificate ms-cert user@host# set certificate peer-certificate-type x509- signature user@host# set certificate trusted-ca ms-ca
配置 IKE 网关。
在此示例中,对等方由 FQDN(主机名)标识。因此,网关 IKE ID 应为远程对等方域名。您必须指定正确的外部接口或对等方 ID,以便在第 1 阶段设置期间正确识别 IKE 网关。
[edit security ike gateway ike-gate] user@host# set external-interface ge-0/0/3.0 user@host# set ike-policy ike-policy1 user@host# set dynamic hostname ssg5.example.net
配置 IPsec 策略。
此示例使用标准提议集,其中包括
esp-group2-3des-sha1和esp-group2- aes128-sha1提议。但是,您可以创建唯一的提议,然后根据需要在 IPsec 策略中指定。[edit security ipsec policy vpn-policy1] user@host# set proposal-set standard user@host# set perfect-forward-secrecy keys group2
使用 IKE 网关和 IPsec 策略配置 IPsec VPN。
在此示例中,必须在隧道策略中引用 ike-vpn VPN 名称才能创建安全关联。此外,如果需要,如果空闲时间和代理 ID 与隧道策略地址不同,则可以指定它们。
[edit security ipsec vpn ike-vpn ike] user@host# set gateway ike-gate user@host# set ipsec-policy vpn-policy1
为 VPN 流量配置双向隧道策略。
在此示例中,从主机LAN到远程办公室LAN的流量需要从区域信任到区域不信任隧道策略。但是,如果会话需要从远程 LAN 发起到主机 LAN,则还需要从“从”区域不信任“到”区域信任“相反方向的隧道策略。当您以与对策略相反的方向指定策略时,VPN 将变为双向。请注意,除了允许操作外,还需要指定要使用的 IPsec 配置文件。请注意,对于隧道策略,操作始终为允许。事实上,如果使用拒绝操作配置策略,则不会看到用于指定隧道的选项。
[edit security policies from-zone trust to-zone untrust] user@host# set policy tunnel-policy-out match source-address local-net user@host# set policy tunnel-policy-out match destination-address remote-net user@host# set policy tunnel-policy-out match application any user@host# set policy tunnel-policy-out then permit tunnel ipsec-vpn ike-vpn pair-policy tunnel-policy-in user@host# top edit security policies from-zone untrust to-zone trust user@host# set policy tunnel-policy-in match source-address remote-net user@host# set policy tunnel-policy-in match destination-address local-net user@host# set policy tunnel-policy-in match application any user@host# set policy tunnel-policy-in then permit tunnel ipsec-vpn ike-vpn pair-policy tunnel-policy-out
为 Internet 流量配置源 NAT 规则和安全策略。
设备使用指定的源 NAT 接口,并转换传出流量的源 IP 地址和端口,将出口接口的 IP 地址用作源 IP 地址,并将源端口的随机更高端口用作源端口。如果需要,可以创建更精细的策略来允许或拒绝特定流量。
[edit security nat source rule-set nat-out] user@host#set from zone trust user@host#set to zone untrust user@host#set rule interface-nat match source-address 192.168.10.0/24 user@host#set rule interface-nat match destination-address 0.0.0.0/0 user@host#set rule interface-nat then source-nat interface
[edit security policies from-zone trust to-zone untrust] user@host# set policy any-permit match source-address any user@host# set policy any-permit match destination-address any user@host# set policy any-permit match application any user@host# set policy any-permit then permit
将隧道策略移至“任意许可”策略之上。
[edit security policies from-zone trust to-zone untrust] user@host# insert policy tunnel-policy-out before policy any-permit
安全策略应位于层次结构中的隧道策略之下,因为策略列表是从上到下读取的。如果此策略高于隧道策略,则流量将始终与此策略匹配,并且不会继续到下一个策略。因此,不会加密任何用户流量。
为通过隧道的 TCP 流量配置 tcp-mss 设置。
TCP-MSS 作为 TCP 三次握手的一部分进行协商。它限制 TCP 分段的最大大小,以适应网络上的 MTU 限制。这对于 VPN 流量非常重要,因为 IPsec 封装开销以及 IP 和帧开销会导致生成的 ESP 数据包超过物理接口的 MTU,从而导致分段。因为分段会增加带宽和设备资源的使用,因此通常应避免。
对于大多数基于以太网且 MTU 为 1500 或更高的网络,用于 tcp-mss 的建议值为 1350。如果路径中任何设备的 MTU 值较低,或者存在任何额外的开销(如 PPP、帧中继等),则可能需要更改此值。通常,您可能需要试验不同的 tcp-mss 值才能获得最佳性能。
user@host# set security flow tcp-mss ipsec-vpn mss mss-value Example: [edit] user@host# set security flow tcp-mss ipsec-vpn mss 1350 user@host# commit and-quit commit complete Exiting configuration mode
验证
确认配置工作正常。
- 确认 IKE 第 1 阶段状态
- 获取有关各个安全性关联的详细信息
- 确认 IPsec 第 2 阶段状态
- 显示 IPsec 安全性关联详细信息
- 检查 IPsec SA 统计信息
- 测试通过 VPN 的流量
- 确认连接
确认 IKE 第 1 阶段状态
目的
通过检查任何 IKE 第 1 阶段安全关联状态来确认 VPN 状态。
与 IPsec 隧道相关的 PKI 在第 1 阶段设置期间形成。完成第 1 阶段表明 PKI 成功。
行动
在操作模式下,输入命令 show security ike security-associations 。
user@host> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 2010.2.2.2 UP af4f78bc135e4365 48a35f853ee95d21 Main
意义
输出表明:
远程对等方为 10.2.2.2,状态为 UP,表示第 1 阶段建立关联成功。
远程对等方 IKE ID、IKE 策略和外部接口均正确无误。
索引 20 是每个 IKE 安全关联的唯一值。您可以使用此输出详细信息获取有关每个安全关联的更多详细信息。请参阅 获取有关单个安全性关联的详细信息。
不正确的输出将表明:
远程对等方状态为“关闭”。
没有 IKE 安全关联。
存在 IKE 策略参数,例如错误的模式类型(聚合或主)、PKI 问题或第 1 阶段提议(所有这些都必须在两个对等方上匹配)。有关更多信息,请参阅 排除 IKE、PKI 和 IPsec 问题。
外部接口无法接收 IKE 数据包。检查配置中是否存在与 PKI 相关的问题,检查密钥管理守护程序 (kmd) 日志中是否存在任何其他错误,或运行跟踪选项以查找不匹配项。有关更多信息,请参阅 排除 IKE、PKI 和 IPsec 问题。
获取有关各个安全性关联的详细信息
目的
获取有关单个 IKE 的详细信息。
行动
在操作模式下,输入命令 show security ike security-associations index 20 detail 。
user@host> show security ike security-associations index 20 detail IKE peer 10.2.2.2, Index 20, Role: Responder, State: UP Initiator cookie: af4f78bc135e4365, Responder cookie: 48a35f853ee95d21 Exchange type: Main, Authentication method: RSA-signatures Local: 10.1.1.2:500, Remote: 10.2.2.2:500 Lifetime: Expires in 23282 seconds Algorithms: Authentication : sha1 Encryption : 3des-cbc Pseudo random function: hmac-sha1 Traffic statistics: Input bytes : 10249 Output bytes : 4249 Input packets: 10 Output packets: 9 Flags: Caller notification sent IPsec security associations: 2 created, 1 deleted Phase 2 negotiations in progress: 0
意义
输出显示各个 IKE SA 的详细信息,例如角色(发起方或响应方)、状态、交换类型、身份验证方法、加密算法、流量统计信息、第 2 阶段协商状态等。
您可以使用输出数据:
了解 IKE SA 的作用。当对等方具有响应方角色时,故障排除会更容易。
获取流量统计信息以验证两个方向的流量。
获取已创建或正在进行的 IPsec 安全关联数。
获取所有已完成的第 2 阶段协商的状态。
确认 IPsec 第 2 阶段状态
目的
查看 IPsec(第 2 阶段)安全关联。
确认 IKE 第 1 阶段后,查看 IPsec(第 2 阶段)安全关联。
行动
在操作模式下,输入命令 show security ipsec security-associations 。
user@host> show security ipsec security-associations total configured sa: 2 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <2 10.2.2.2 500 ESP:3des/sha1 bce1c6e0 1676/ unlim - 0 >2 10.2.2.2 500 ESP:3des/sha1 1a24eab9 1676/ unlim - 0
意义
输出表明:
有一个配置的 IPsec SA 对可用 。端口号 500 表示使用的是标准 IKE 端口。否则,则为网络地址转换遍历 (NAT-T)、4500 或随机高端口。
安全参数索引 (SPI) 用于两个方向。SA 的生存期或使用限制以秒或千字节表示。在输出中,1676/unlim表示第2阶段生存期设置为在1676秒后过期,并且没有指定的生存期大小。
ID 号显示每个 IPsec SA 的唯一索引值。
Mon 列中的连字符 (
-) 表示未为此 SA 启用 VPN 监控。虚拟系统 (vsys) 为零,这是默认值。
第 2 阶段生存期可以不同于第 1 阶段生存期,因为建立 VPN 后,第 2 阶段不依赖于第 1 阶段。
显示 IPsec 安全性关联详细信息
目的
显示由索引号标识的各个 IPsec SA 详细信息。
行动
在操作模式下,输入命令 show security ipsec security-associations index 2 detail 。
user@host> show security ipsec security-associations index 2 detail Virtual-system: Root Local Gateway: 10.1.1.2, Remote Gateway: 10.2.2.2 Local Identity: ipv4_subnet(any:0,[0..7]=192.168.10.0/24) Remote Identity: ipv4_subnet(any:0,[0..7]=192.168.168.0/24) DF-bit: clear Policy-name: tunnel-policy-out Direction: inbound, SPI: bce1c6e0, AUX-SPI: 0 Hard lifetime: Expires in 1667 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 1093 seconds Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: - Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: enabled, Replay window size: 32 Direction: outbound, SPI: 1a24eab9, AUX-SPI: 0 Hard lifetime: Expires in 1667 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 1093 seconds Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: - Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: enabled, Replay window size: 32
意义
输出显示本地身份和远程身份。
请注意,代理 ID 不匹配可能会导致第 2 阶段完成失败。代理 ID 派生自隧道策略(对于基于策略的 VPN)。本地地址和远程地址派生自通讯簿条目,服务派生自为策略配置的应用程序。
如果第 2 阶段由于代理 ID 不匹配而失败,请验证策略中配置了哪些通讯簿条目,并确保发送的地址正确。还要确保端口匹配。仔细检查服务,确保端口与远程服务器和本地服务器匹配。
如果在隧道策略中为源地址、目标地址或应用程序配置了多个对象,则该参数生成的代理 ID 将更改为零。
例如,假设隧道策略有以下方案:
本地地址 192.168.10.0/24 和 10.10.20.0/24
远程地址 192.168.168.0/24
应用程序作为 junos-http
生成的代理 ID 为本地 0.0.0.0/0,远程 192.168.168.0/24,服务 80。
如果未为第二个子网配置远程对等方,则生成的代理 ID 可能会影响互操作性。此外,如果您使用的是第三方供应商的应用程序,则可能必须手动输入代理 ID 以进行匹配。
如果 IPsec 无法完成,请检查 kmd 日志或使用命令 set traceoptions 。有关更多信息,请参阅 排除 IKE、PKI 和 IPsec 问题。
检查 IPsec SA 统计信息
目的
检查 IPsec SA 的统计信息和错误。
为了进行故障排除,请检查封装安全性有效负载/身份验证报头 (ESP/AH) 计数器中特定 IPsec SA 是否存在任何错误。
行动
在操作模式下,输入命令 show security ipsec statistics index 2 。
user@host> show security ipsec statistics index 2 ESP Statistics: Encrypted bytes: 674784 Decrypted bytes: 309276 Encrypted packets: 7029 Decrypted packets: 7029 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
意义
输出中的误差值为零表示状况正常。
建议多次运行此命令以观察 VPN 中的任何数据包丢失问题。此命令输出还会显示加密和解密数据包计数器、错误计数器等的统计信息。
您必须启用安全流跟踪选项,以调查哪些 ESP 数据包遇到错误以及原因。有关更多信息,请参阅 排除 IKE、PKI 和 IPsec 问题。
测试通过 VPN 的流量
目的
在第 1 阶段和第 2 阶段成功完成后,测试通过 VPN 的流量。您可以使用命令 ping 测试流量。您可以从本地主机到远程主机执行 ping 操作。您还可以从瞻博网络设备本身发起 ping。
此示例说明如何发起从瞻博网络设备到远程主机的 ping 请求。请注意,从瞻博网络设备发起 ping 时,必须指定源接口,以确保进行正确的路由查找,并在策略查找中引用相应的区域。
在此示例中,ge-0/0/0.0 接口与本地主机位于同一安全区域中,必须在 ping 请求中指定,以便策略查找可以从信任区域切换到非信任区域。
行动
在操作模式下,输入命令 ping 192.168.168.10 interface ge-0/0/0 count 5 。
user@host> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
确认连接
目的
确认远程主机与本地主机之间的连接。
行动
在操作模式下,输入命令 ping 192.168.10.10 from ethernet0/6 。
ssg5-> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
意义
您可以使用从远程主机到本地主机的 ping 命令来确认端到端连接。在此示例中,命令是从 SSG5 设备启动的。
端到端连接失败可能表示 ESP 数据包的路由、策略、终端主机或加密/解密存在问题。要验证故障的确切原因:
检查 IPsec 统计信息,了解有关错误的详细信息,如 检查 IPsec SA 统计信息中所述。
使用与终端主机位于同一子网中的主机的命令来
ping确认终端主机连接。如果其他主机可以访问终端主机,则可以假设问题不在于终端主机。启用安全流跟踪选项,以排除与路由和策略相关的问题。
IKE、PKI 和 IPsec 问题故障排除
对 IKE、PKI 和 IPsec 问题进行故障排除。
- 基本故障排除步骤
- 检查设备上的可用磁盘空间
- 检查日志文件以验证不同的方案并将日志文件上传到 FTP
- 启用 IKE 追踪选项以查看 IKE 上的消息
- 启用 PKI 追踪选项以查看 IPsec 上的消息
- 设置 IKE 和 PKI 追踪选项以对证书的 IKE 设置问题进行故障排除
- 分析第 1 阶段的成功消息
- 分析第 1 阶段失败消息(提议不匹配)
- 分析第 1 阶段失败消息(身份验证失败)
- 分析第 1 阶段失败消息(超时错误)
- 分析第 2 阶段失败消息
- 分析第 2 阶段失败消息
- 与 IKE 和 PKI 相关的常见问题故障排除
基本故障排除步骤
问题
基本故障排除步骤如下:
识别并隔离问题。
调试问题。
开始故障排除的常见方法是从 OSI 层的最底层开始,然后沿着 OSI 堆栈向上移动,以确认发生故障的层。
解决方案
对 IKE、PKI 和 IPsec 进行故障排除的基本步骤如下:
在物理和数据链路级别确认互联网链路的物理连接。
确认瞻博网络设备已连接到互联网下一跃点,并已连接到远程 IKE 对等方。
确认 IKE 第 1 阶段完成。
如果第 1 阶段成功完成IKE IKE则确认第 2 阶段完成。
确认通过 VPN 的流量(如果 VPN 已启动且处于活动状态)。
Junos OS 包含追踪选项功能。使用此功能,您可以启用跟踪选项标志,以将跟踪选项中的数据写入日志文件,该文件可以预先确定或手动配置并存储在闪存中。即使在系统重新启动后,也可以保留这些跟踪日志。在实施追踪选项之前,请检查可用的闪存。
您可以在配置模式下启用追踪选项功能,并提交配置以使用追踪选项功能。与禁用追踪选项类似,您必须在配置模式下停用追踪选项并提交配置。
检查设备上的可用磁盘空间
问题
检查设备文件系统中可用磁盘空间的统计信息。
解决方案
在操作模式下,输入命令 show system storage 。
user@host> show system storage Filesystem Size Used Avail Capacity Mounted on /dev/ad0s1a 213M 74M 137M 35% / devfs 1.0K 1.0K 0B 100% /dev devfs 1.0K 1.0K 0B 100% /dev/ /dev/md0 180M 180M 0B 100% /junos /cf 213M 74M 137M 35% /junos/cf devfs 1.0K 1.0K 0B 100% /junos/dev/ procfs 4.0K 4.0K 0B 100% /proc /dev/bo0s1e 24M 13K 24M 0% /config /dev/md1 168M 7.6M 147M 5% /mfs /cf/var/jail 213M 74M 137M 35% /jail/var
代表 /dev/ad0s1a 板载闪存,目前容量为 35%。
检查日志文件以验证不同的方案并将日志文件上传到 FTP
问题
查看日志文件,以检查安全 IKE 调试消息、安全流调试以及日志记录到 syslog 的状态。
解决方案
在操作模式下,输入 show log kmd、 show log pkid、 show log security-trace以及 show log messages 命令。
user@host> show log kmd user@host> show log pkid user@host> show log security-trace user@host> show log messages
您可以使用命令 show log 查看 /var/log 目录中所有日志的列表。
也可以使用命令 file copy 将日志文件上传到 FTP 服务器。
(operational mode): user@host> file copy path/filename dest-path/filename Example:
user@host> file copy /var/log/kmd ftp://192.168.10.10/kmd.log
ftp://192.168.10.10/kmd.log 100% of 35 kB 12 MBps
启用 IKE 追踪选项以查看 IKE 上的消息
问题
要查看 IKE 或 IPsec 的成功或失败消息,可以使用命令查看 kmd 日志 show log kmd 。由于 kmd 日志显示一些常规消息,因此通过启用 IKE 和 PKI 跟踪选项来获取其他详细信息会很有用。
通常,最佳做法是对具有响应方角色的对等方进行故障排除。您必须从发起方和响应方获取跟踪输出,才能了解故障原因。
配置 IKE 追踪选项。
解决方案
user@host> configure Entering configuration mode [edit] user@host# edit security ike traceoptions [edit security ike traceoptions]
user@host# set file ? Possible completions: <filename> Name of file in which to write trace information files Maximum number of trace files (2..1000) match Regular expression for lines to be logged no-world-readable Don't allow any user to read the log file size Maximum trace file size (10240..1073741824) world-readable Allow any user to read the log file
[edit security ike traceoptions]
user@host# set flag ? Possible completions: all Trace everything certificates Trace certificate events database Trace security associations database events general Trace general events ike Trace IKE module processing parse Trace configuration processing policy-manager Trace policy manager processing routing-socket Trace routing socket messages timer Trace internal timer events
如果未为 <filename> 字段指定文件名,则所有IKE跟踪选项都将写入 kmd 日志。
必须至少指定一个标志选项才能将跟踪数据写入日志。例如:
file size— 每个跟踪文件的最大大小(以字节为单位)。例如,100 万 (1,000,000 ) 可以生成 1 MB 的最大文件大小。files— 要生成并存储在闪存设备中的跟踪文件的最大数量。
您必须提交配置才能开始追踪。
启用 PKI 追踪选项以查看 IPsec 上的消息
问题
启用 PKI 跟踪选项以确定 IKE 故障是否与证书或非 PKI 问题有关。
解决方案
[edit security pki traceoptions]
user@host# set file ? Possible completions: <filename> Name of file in which to write trace information files Maximum number of trace files (2..1000) match Regular expression for lines to be logged no-world-readable Don't allow any user to read the log file size Maximum trace file size (10240..1073741824) world-readable Allow any user to read the log file
[edit security pki traceoptions]
user@host# set flag ? Possible completions: all Trace with all flags enabled certificate-verification PKI certificate verification tracing online-crl-check PKI online crl tracing
设置 IKE 和 PKI 追踪选项以对证书的 IKE 设置问题进行故障排除
问题
为 IKE 和 PKI 追踪选项配置建议的设置。
IKE 和 PKI 跟踪选项使用相同的参数,但所有 PKI 相关跟踪的默认文件名都可以在 pkid 日志中找到。
解决方案
user@host> configure Entering configuration mode [edit security ike traceoptions] user@host# set file size 1m user@host# set flag ike user@host# set flag policy-manager user@host# set flag routing-socket user@host# set flag certificates [edit security pki traceoptions] user@host# set file size 1m user@host# set flag all user@host# commit and-quit commit complete Exiting configuration mode
分析第 1 阶段的成功消息
问题
了解 IKE 第 1 阶段和第 2 阶段条件成功时命令 show log kmd 的输出。
解决方案
Nov 7 11:52:14 Phase-1 [responder] done for local=ipv4(udp:500,[0..3]= 10.1.1.2) remote=fqdn(udp:500,[0..15]=ssg5.example.net) Nov 7 11:52:14 Phase-2 [responder] done for p1_local=ipv4(udp:500,[0..3]=10.1.1.2) p1_remote=fqdn(udp:500,[0..15]=ssg5.example.net) p2_local=ipv4_subnet(any:0,[0..7]=192.168.10.0/24) p2_remote=ipv4_subnet(any:0,[0..7]=192.168.168.0/24)
示例输出指示:
10.1.1.2—本地地址。ssg5.example.net- 远程对等方(带 FQDN 的主机名)。udp: 500—未协商 NAT-T。Phase 1 [responder] done- 第 1 阶段状态以及角色(发起方或响应方)。Phase 2 [responder] done- 第 1 阶段状态以及代理 ID 信息。您还可以使用 IKE 第 1 阶段状态中提到的验证命令来确认 IPsec SA 状态。
分析第 1 阶段失败消息(提议不匹配)
问题
了解命令的 show log kmd 输出(其中 IKE 第 1 阶段条件为失败)有助于确定 VPN 未建立第 1 阶段的原因。
解决方案
Nov 7 11:52:14 Phase-1 [responder] failed with error(No proposal chosen) for
local=unknown(any:0,[0..0]=) remote=fqdn(udp:500,[0..15]=ssg5.example.net)
Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { 011359c9 ddef501d - 2216ed2a bfc50f5f [-
1] / 0x00000000 } IP; Error = No proposal chosen (14)
示例输出指示:
10.1.1.2—本地地址。ssg5.example.net- 远程对等方(带 FQDN 的主机名)。udp: 500—未协商 NAT-T。Phase-1 [responder] failed with error (No proposal chosen)— 由于提议不匹配,第 1 阶段失败。
要解决此问题,请确保响应方和发起方上的 IKE 网关第 1 阶段提议的参数匹配。还要确认 VPN 存在隧道策略。
分析第 1 阶段失败消息(身份验证失败)
问题
了解当 IKE 第 1 阶段条件失败时命令 show log kmd 的输出。这有助于确定 VPN 未建立第 1 阶段的原因。
解决方案
Nov 7 12:06:36 Unable to find phase-1 policy as remote peer:10.2.2.2 is not recognized.
Nov 7 12:06:36 Phase-1 [responder] failed with error(Authentication failed) for
local=ipv4(udp:500,[0..3]=10.1.1.2) remote=ipv4(any:0,[0..3]=10.2.2.2)
Nov 7 12:06:36 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { f725ca38 dad47583 - dab1ba4c ae26674b [-
1] / 0x00000000 } IP; Error = Authentication failed (24)
示例输出指示:
10.1.1.2—本地地址。10.2.2.2—远程对等方Phase 1 [responder] failed with error (Authentication failed)— 第 1 阶段失败,这是由于响应方无法识别来自有效网关对等方的传入请求。对于具有 PKI 证书的 IKE,此故障通常表示指定或输入了不正确的 IKE ID 类型。
要解决此问题,请确认已根据以下条件在本地对等方上指定了正确的对等方 IKE ID 类型:
远程对等方证书的生成方式
接收的远程对等方证书中的使用者备用名称或 DN 信息
分析第 1 阶段失败消息(超时错误)
问题
了解当 IKE 第 1 阶段条件失败时命令 show log kmd 的输出。
解决方案
Nov 7 13:52:39 Phase-1 [responder] failed with error(Timeout) for local=unknown(any:0,[0..0]=) remote=ipv4(any:0,[0..3]=10.2.2.2)
示例输出指示:
10.1.1.2—L本地地址。10.2.2.2— 远程对等方。Phase 1 [responder] failed with error(Timeout)— 第 1 阶段故障。此错误表示 IKE 数据包在发送至远程对等方的途中丢失,或者出现延迟或远程对等方没有响应。
由于此超时错误是等待 PKI 守护程序响应的结果,因此必须查看 PKI 跟踪选项输出以查看 PKI 是否存在问题。
分析第 2 阶段失败消息
问题
了解当 IKE 第 2 阶段条件失败时命令 show log kmd 的输出。
解决方案
Nov 7 11:52:14 Phase-1 [responder] done for local=ipv4(udp:500,[0..3]=
10.1.1.2) remote=fqdn(udp:500,[0..15]=ssg5.example.net)
Nov 7 11:52:14 Failed to match the peer proxy ids
p2_remote=ipv4_subnet(any:0,[0..7]=192.168.168.0/24)
p2_local=ipv4_subnet(any:0,[0..7]=10.10.20.0/24) for the remote peer:ipv4(udp:500,[0..3]=10.2.2.2)
Nov 7 11:52:14 KMD_PM_P2_POLICY_LOOKUP_FAILURE: Policy lookup for Phase-2 [responder] failed for
p1_local=ipv4(udp:500,[0..3]=10.1.1.2) p1_remote=ipv4(udp:500,[0..3]=10.2.2.2)
p2_local=ipv4_subnet(any:0,[0..7]=10.10.20.0/24)
p2_remote=ipv4_subnet(any:0,[0..7]=192.168.168.0/24)
Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { 41f638eb cc22bbfe - 43fd0e85 b4f619d5 [0]
/ 0xc77fafcf } QM; Error = No proposal chosen (14)
示例输出指示:
10.1.1.2—本地地址。ssg5.example.net— 远程对等方(带有 FQDN 的 IKE ID 类型主机名)。Phase 1 [responder] done—第一阶段成功。Failed to match the peer proxy ids— 收到不正确的代理 ID。在上一个示例中,收到的两个代理 ID 是 192.168.168.0/24(远程)和 10.10.20.0/24(本地)(对于 service=any)。根据此示例中给出的配置,预期本地地址为 192.168.10.0/24。这表明本地对等方上的配置不匹配,导致代理 ID 匹配失败。要解决此问题,请更正地址簿条目或配置任一对等方上的代理 ID,使其与另一个对等方匹配。
输出还指示故障
No proposal chosen原因是 。但是,在这种情况下,您还会看到消息Failed to match the peer proxy ids。
分析第 2 阶段失败消息
问题
了解当 IKE 第 2 阶段条件失败时命令 show log kmd 的输出。
解决方案
Nov 7 11:52:14 Phase-1 [responder] done for local=ipv4(udp:500,[0..3]=
10.1.1.2) remote=fqdn(udp:500,[0..15]=ssg5.example.net)
Nov 7 11:52:14 10.1.1.2:500 (Responder) <-> 10.2.2.2:500 { cd9dff36 4888d398 - 6b0d3933 f0bc8e26 [0]
/ 0x1747248b } QM; Error = No proposal chosen (14)
示例输出指示:
10.1.1.2—本地地址。fqdn(udp:500,[0..15]=ssg5.example.net— 远程对等方。Phase 1 [responder] done—第一阶段成功。Error = No proposal chosen— 第 2 阶段未选择任何提议。此问题是由于两个对等方之间的提议不匹配造成的。要解决此问题,请确认第 2 阶段提议在两个对等方上匹配。
与 IKE 和 PKI 相关的常见问题故障排除
问题
对与 IKE 和 PKI 相关的常见问题进行故障排除。
启用跟踪选项功能有助于收集有关调试问题的更多信息,而不是从普通日志条目中获取的信息。您可以使用追踪选项日志来了解 IKE 或 PKI 失败的原因。
解决方案
IKE 和 PKI 相关问题的故障排除方法:
确保时钟、日期、时区和夏令时设置正确。使用 NTP 保持时钟准确。
确保在 DN 的“C=”(国家/地区)字段中使用两个字母的国家/地区代码。
例如:使用“US”,而不是“USA”或“United States”。某些 CA 要求填充 DN 的国家/地区字段,只允许输入包含两个字母的国家/地区代码值。
确保如果对等证书使用多个 OU= 或 CN= 字段,则使用带有容器方法的可分辨名称(必须维护序列并区分大小写)。
如果证书还无效,请检查系统时钟,如果需要,请调整系统时区或仅在时钟中添加一天以进行快速测试。
确保配置了匹配的 IKE ID 类型和值。
PKI 可能会由于吊销检查失败而失败。要确认这一点,请暂时禁用撤销检查并查看 IKE 第 1 阶段是否能够完成。
要禁用撤销检查,请在配置模式下使用以下命令:
set security pki ca-profile <ca-profile> revocation-check disable