Asa 和 sonicwall 之间的 Ikev2 ipsec 问题(问题已解决)但需要了解

网络工程 思科 思科-ASA 声波墙 帕洛阿尔托
2022-02-03 16:47:19

确实需要您的帮助 需要帮助了解在 Asa 和 Sonicwall 之间创建隧道时面临的问题(问题已解决)仍然需要帮助才能理解。

SonicWall: Phase 1
Ikev2
Encryption aes
Authentication sha256
Dh 14
Lifetime 86400

Asa: phase 1
Ikev2
Encryption aes
Integrity sha256
Dh 15
Prf sha
Lifetime 86400

如您所见,我的 asa 默认配置为 prf。远程防火墙 sonicwall 在第 1 阶段没有 prf,但是在将我在 asa 上的 prf 配置从 sha 更改为 sha256 之后,隧道出现了。

谁能告诉我 sonicwall 是否配置了 sha256 的默认 prf?否则我的完整性和 prf 应该相同以匹配远程 fw sonicwall 身份验证参数因为阶段 1 参数应该相同意味着 prf 存在于 sonicwall 上,否则隧道将永远不会出现。

可选:Palo alto 也具有相同的身份验证选项,因此在这种情况下,我还需要保持我的完整性和 prf。

2个回答

VPN 向导

这些是您通过 VPN 向导设置站点到站点时出现的默认设置。

VPN 手册

这些是您手动设置站点到站点 VPN 时出现的默认设置。

当我使用 ASA 配置 IPsec VPN 时,我通常将 PRF 设置为与完整性(或身份验证)相同的值,因为大多数其他软件都使用此设置并且通常无法更改。

如果您有疑问,您可以捕获 IKE_SA_INIT 交换并使用 wireshark 进行分析(这是未加密的)。您将在 IKE 提议的转换子结构中找到对等方使用的值。

其它你可能感兴趣的问题
上一篇RSTP 网络交换机 MAC 地址 下一篇拓扑更改后 STP 中的 Mac 不稳定!