docurl=/cn/Products___Technology/Products/IP_Security/FW_VPN/M9000/M9000/FAQ/201405/829352_30003_0.htm

H3C SecPath M9000系列多业务安全网关 用户FAQ-5W100-20140523

【发布时间:2014-05-27】

H3C SecPath M9000系列多业务安全网关

用户FAQ

本文档介绍H3C SecPath M9000系列多业务安全网关的用户常见问题及解答。

1  硬件类FAQ

M9000系列产品包括哪几个型号?

H3C SecPath M9000系列多业务安全网关包括M9006M9010M9014三款产品。

M9000系列设备由哪几个部分组成?

M9000系列设备主要由主控板区、接口板和业务板区、网板区、电源区、风扇区等几个部分组成,下面以M9010为例,对各部分进行介绍。

图1  前、后面板示意图

http://www.h3c.com.cn/res/201310/23/20131023_1697498_image001_801938_30005_0.png

 

表1 机箱各区域说明

  说明

区域

区域说明

选配情况

①接口板和业务板区

安装接口板或者业务板的槽位

接口板选配,业务板必配(机箱发货时不带接口板和业务板)

支持多种类型的接口板和业务板,请根据实际业务需求进行选择

②主控板区

安装主控板的槽位

主控板必配(机箱发货时不带主控板)

目前支持的主控板型号为NSQ1SUPB0

③电源区

安装电源模块的槽位

电源模块必配(机箱发货时不带电源模块)

支持的电源模块型号为LSUM1AC2500LSUM1DC2400

·       M9006具有4个电源模块插槽

·        M9010M9014具有6个电源模块插槽

④风扇区

安装散热风扇框的槽位,位于机箱背面

风扇框必配(机箱发货时已安装好相应风扇框)

根据不同机箱的特点,风扇框的位置有所不同:

·       M9006M9014:风扇框位于机箱背面的左侧

·       M9010:风扇框位于机箱背面的上方

⑤网板区

安装交换网板的槽位

网板必配(机箱发货时不带网板)

每机箱至少要配1块网板,最多可配置4块网板,并且要求编号最小的两个网板槽位中至少要有一个槽位安装了网板:

·       M90066或者7槽位至少要有一块网板在位

·       M901010或者11槽位至少要有一块网板在位

·        M901414或者15槽位至少要有一块网板在位

 

M9000系列支持哪些业务板?

M9000系列多业务安全网关目前支持一种业务板,业务版信息如下:

表2 业务板信息

业务板型号

业务板描述

对外接口

接口连接器类型

NSQ1FWCEA0

防火墙业务板

1Console接口

RJ-45

2个千兆Combo

10/100/1000BASE-T电接口

RJ-45

1000BASE-X SFP光接口

LC

 

M9000系列支持哪些接口板?

M9000系列多业务安全网关支持多种型号接口板,每款接口板上提供的接口数量及类型有所不同,具体如3所示。

表3  接口板信息

接口板型号

接口板描述

接口连接器类型

接口数量

接口传输速率

支持的可插拔接口模块

NSQ1TGS8EA0

8端口万兆以太网光口接口板

LC

8

10Gbit/s

·       万兆SFP+模块

·       万兆SFP+电缆

·       千兆SFP模块

NSQ1GT48EA0

48端口千兆以太网电口接口板

RJ-45

48

10/100/1000Mbit/s

-

NSQ1GP24TXEA0

16端口千兆以太网光口+8 Combo端口+2端口万兆以太网光口接口板

LC

24

1000/100Mbit/s

·       千兆SFP模块

·       百兆SFP模块

2

10Gbit/s

·       万兆XFP模块

RJ-45

8

10/100/1000Mbit/s

-

NSQ1TGX4EA0

4端口万兆以太网光口接口板

LC

4

10Gbit/s

·       万兆XFP模块

NSQ1GP48EB0

48端口千兆以太网光口接口板

LC

48

1000/100Mbit/s

·       千兆SFP模块

·       百兆SFP模块

NSQ1TGS32SF0

32端口万兆以太网光口接口板

LC

32

10/1Gbit/s

·       万兆SFP+模块

·       万兆SFP+电缆

·       千兆SFP模块

NSQ1CGC2SE0

2100G接口板

2

100Gbit/s

·       100G接口模块

NSQ1QGS4SF0

4端口40G以太网光口接口板

MPO

4

40Gbit/s

·       QSFP+模块

·        QSFP+电缆

·       QSFP+ to SFP+电缆

 

M9000系列支持哪些网板类型?

网板是M9000系列多业务安全网关的交换网核心。不同型号的M9000适配的网板型号以及可以配备的数量请参见4

表4  网板选配指南

机型

适配网板型号

单台主机配备网板数量

M9006

NSQ1FAB04B0

14

M9010

NSQ1FAB08D0

M9014

NSQ1FAB12D0

 

2  软件类FAQ

如何查看当前运行的版本及各板卡的信息?

可以使用命令display version查看系统当前运行的主机程序版本、各板卡重启原因和运行时间:

<M90006> display  version                                                          

H3C Comware Software, Version 7.1.049, Demo 9105                               

Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved.      

H3C SecPath M9006 uptime is 0 weeks, 0 days, 6 hours, 6 minutes                

Last reboot reason : Cold reboot                                               

                                                                                

Boot image: flash:/M9000-CMW710-BOOT-D0505.bin                                 

Boot image version: 7.1.049P05, Demo 9105                                      

  Compiled Nov 29 2013 12:01:58                                                

System image: flash:/M9000-CMW710-SYSTEM-D0505.bin                             

System image version: 7.1.049, Demo 9105                                       

  Compiled Nov 29 2013 12:01:58                                                 

Feature image(s) list:                                                         

  flash:/M9000-CMW710-DEVKIT-D0505.bin, version: 7.1.049                       

    Compiled Nov 29 2013 12:02:51                                               

                                                                               

                                                                               

MPU(M) Chassis 1 Slot 0:                                                        

Uptime is 0 weeks,0 days,6 hours,10 minutes                                    

H3C SecPath M9006 MPU(M) with 1 XLP316 Processor                               

BOARD TYPE:         NSQ1SUPB0                                                   

DRAM:               8192M bytes                                                

FLASH:              500M bytes                                                 

NVRAM:              512K bytes                                                 

PCB 1 Version:      VER.A                                                      

Bootrom Version:    119                                                        

CPLD 1 Version:     003                                                        

CPLD 2 Version:     003                                                        

CPLD 3 Version:     003                                                        

Release Version:    H3C SecPath M9006-9105                                     

Patch Version  :    None                                                       

Reboot Cause  :     ColdReboot                                                 

                                                                               

MPU(S) Chassis 1 Slot 1:                                                       

Uptime is 0 weeks,0 days,6 hours,10 minutes                                    

H3C SecPath M9006 MPU(S) with 1 XLP316 Processor                               

BOARD TYPE:         NSQ1SUPB0                                                  

DRAM:               8192M bytes                                                

FLASH:              500M bytes                                                 

NVRAM:              512K bytes                                                 

PCB 1 Version:      VER.A                                                      

Bootrom Version:    119                                                        

CPLD 1 Version:     001                                                         

CPLD 2 Version:     001                                                        

CPLD 3 Version:     001                                                        

Release Version:    H3C SecPath M9006-9105                                      

Patch Version  :    None                                                       

Reboot Cause  :     ColdReboot                                                 

                                                                                

LPU Chassis 1 Slot 2:                                                          

Uptime is 0 weeks,0 days,6 hours,8 minutes                                     

H3C SecPath M9006 LPU with 1 XLS408 Processor                                   

BOARD TYPE:         NSQ1TGS32SF0                                               

DRAM:               1024M bytes                                                

FLASH:              0M bytes                                                   

NVRAM:              0K bytes                                                   

PCB 1 Version:      VER.A                                                      

Bootrom Version:    511                                                        

CPLD 1 Version:     004                                                        

CPLD 2 Version:     004                                                        

Release Version:    H3C SecPath M9006-9105                                     

Patch Version  :    None                                                       

Reboot Cause  :     ColdReboot                                                 

                                                                               

LPU Chassis 1 Slot 3:                                                           

Uptime is 0 weeks,0 days,1 hour,42 minutes                                     

H3C SecPath M9006 LPU with 1 XLS408 Processor                                  

BOARD TYPE:         NSQ1FWCEA0                                                  

DRAM:               1024M bytes                                                

FLASH:              0M bytes                                                   

NVRAM:              0K bytes                                                    

PCB 1 Version:      VER.B                                                      

PCB 2 Version:      VER.A                                                      

Bootrom Version:    511                                                        

CPLD 1 Version:     002                                                        

Release Version:    H3C SecPath M9006-9105                                     

Patch Version  :    None                                                       

Reboot Cause  :     WarmReboot                                                 

SLOT 3                                                                         

CPU type: Multi-core CPU                                                        

16382M   bytes DDR3 SDRAM Memory                                               

247M     bytes CF0 Card                                                        

Board PCB        Version:Ver.A                                                  

CF SubCard PCB   Version:Ver.B                                                 

CPLD_A           Version:  2.0                                                 

CPLD_B           Version:  4.0                                                 

CPLD_C           Version:  1.0                                                 

Basic  BootWare  Version: 2.01                                                 

Extend BootWare  Version: 2.01                                                 

[SubSlot 0]2GE+4XGE  (Hardware)Ver.A, (Driver)1.0, (Cpld)4.0                   

M9000系列设备如何升级版本?

系统在升级主控板的同时不会自动升级防火墙插卡上的安全引擎,防火墙插卡上的安全引擎使用独立的启动软件包,这个软件包会和主控板的启动软件包一起发布,需要单独升级。

升级的方法有三种:

第一种:分别在主控板和防火墙板卡的控制台,通过BootWare进行升级。

第二种:下载新软件到主控板存储介质的根目录下,分别指定主控板和防火墙板卡的下次启动软件包并重启设备完成升级;

(1)      升级主控板

·              下载主控板启动软件包m9000.ipeflash

·              主控板所在槽位为Slot 4,设置该槽位的主用启动软件m9000.ipe

<M9010> boot-loader file flash:/m9000.ipe slot 4 main                                                                               

Verifying the IPE file and the images.......Done.                                                                                   

H3C SecPath M9010 images in IPE:                                                                                                   

  M9000-CMW710-BOOT-D0509.bin                                                                                                       

  M9000-CMW710-SYSTEM-D0509.bin                                                                                                    

This command will set the main startup software images. Continue? [Y/N]:y                                                           

Add images to slot 4.                                                                                                              

File flash:/M9000-CMW710-BOOT-D0509.bin already exists on slot 4.                                                                   

File flash:/M9000-CMW710-SYSTEM-D0509.bin already exists on slot 4.                                                                

Overwrite the existing files? [Y/N]:y

·              重启系统,完成主控板启动软件包的升级。

(2)      升级业务板

·              下载业务板启动软件包m9000_fw.ipeCF

·              业务板所在槽位为Slot 2设置该槽位的主用启动软件包为m9000_fw.ipe

<M9010> boot-loader file flash:/m9000_fw.ipe slot 2 cpu 1 main                                                                      

  Verifying the IPE file and the images....Done.                                                                                     

   Blade3fw-m9000 images in IPE:                                                                                                       

  BLADE3FWM9000-CMW710-BOOT-D0509.bin                                                                                              

  BLADE3FWM9000-CMW710-SYSTEM-D0509.bin                                                                                             

  This command will set the main startup software images. Continue? [Y/N]:y                                                          

  Add images to slot 2 cpu 1.                                                                                                         

File cfa0:/BLADE3FWM9000-CMW710-BOOT-D0509.bin already exists on slot 2 cpu 1.                                                     

File cfa0:/BLADE3FWM9000-CMW710-SYSTEM-D0509.bin already exists on slot 2 cpu 1.                                                    

Overwrite the existing files? [Y/N]:y  

·              重启系统,完成业务板启动软件包的升级

新增业务板是否能自动升级指定版本并下发配置?

目前的版本暂时不支持,以后的版本可以支持。

同一机框上的不同业务板可以运行不同的版本吗?

可以,但是不建议这样配置。

运行过程中业务板串口是否能查看或者操作?

在系统启动阶段,业务板串口显示的是业务板的启动信息。

系统启动完毕并进入命令行界面后,控制的是整台设备。

IRF运行模式中,什么情况下从设备一直处于loading状态,不能变成standby状态?

当主设备和从设备的软件版本不一致时,就容易出现这种情况。

另外,如果主设备安装了devkit包,而从设备没有安装,虽然主设备和从设备通过display version命令查看到的软件版本是相同的,但是通过display install active命令 ,就可以看出主设备和从设备是否安装了devkit包。

过滤显示信息时,如果要过滤的内容中含有空格,怎么办?

必须用“”把所带空格的命令括起来。如:display current-configuration | include "traffic behavior",如果不加“”,则命令行会认为第一个空格后的输入为非法输入。

3  流程处理类FAQ

M9000的业务报文处理流程是什么?

处理流程为:业务报文首先到接口板,然后到达网板,然后从网板到达业务板,业务板进行安全处理后,再送到网板,最后从接口板发送出去。

 IRF运行模式的配置和启动流程是什么?

(1)      配置IRF member号和优先级

(2)      将设备运行模式切换到IRF模式

(3)      重启设备

(4)      将堆叠口shutdown

(5)      将堆叠口加入到堆叠组

4  业务功能类FAQ

虚拟防火墙Context

(1)      M9000系列设备支持的Context数目,和些要素有关?

M9000系列设备支持的Context数目,和系统中的业务板数目有关。一块业务板最大能支持创建256Context

(2)      Context启动不起来,可能什么原因导致的

·              Context没有绑定引擎组,即使绑定了空引擎组也无法启动。

·              Context绑定的引擎组,没有有效的引擎板。

IRF

(1)      IRF的堆叠口有些限制

堆叠口只能为10GE以上带宽接口,且最多加入810GE接口。

(2)      IRF堆叠不成功,可能什么原因导致的?

需要确认一下参与堆叠的两台设备的软件版本是否一致,如果软件版本不一致,无法堆叠成功。

(3)      IRF堆叠的设备是需要款型一致

M9000系列设备支持异构堆叠,即不需要款型一致,M9006M9010M9014之间可以互相堆叠。

冗余口、冗余组

(1)      冗余口可以包含哪些成员、支持多少个?

成员口可以包含物理口、聚合口和子接口。

一个冗余口只能包含2个成员口,一个处于Active状态,一个处于Inactive状态。

(2)       同一个口能否加入到多个冗余口

不能。同一个接口只能加入到一个冗余口中。

(3)      冗余口的业务处理流理是怎样的?

冗余口业务处理流程:

·              冗余口和其他三层口一样,可以IP地址和业务加入安全域和配置域间策略

·              主要用于主备模式的IRF,也可以通过创建多个冗余口实现双主模式的IRF

·              缺省情况下,可以直接在冗余口上配置各种业务(例如:安全策略IP地址等),特定组网环境中(OSPF),为了加快切换速度,业务可以配置在冗余口的成员口上。

冗余口的成员口业务处理流程:

·              冗余口主要用于切换,不做业务配置,成员口做业务配置

·              成员口做业务配置时,和其他接口一样,需要加入到相应的安全域。此外,在业务组网中,可以采用OSPF实现冗余切换功能。

Inactive down功能不能设置。

 

(4)      冗余组的概念是什么?

冗余组用于管理多个冗余口之间的协调同步,当互为主备的两台设备执行主备切换时,需要多个冗余口同时进行链路切换。冗余组上支持配置Track监控联动来实现切换,配置的监控接口可以分配不同的权值,最大为100  

冗余组有两个权重,一个是从主切换到备的切换权重,另一个是从备切换到主的倒回权重,缺省两个权重都为100,最大值也是100,没有最小值 。当监控接口导致权重值减少到小于等于0的时候通知冗余组内所有冗余口进行切换。

(5)      冗余组切换和revert time的关系是什么?

·              只配置track master revert0

结果:当主切到备后,永远切回不到主。

·              只配置track master revert不为0

结果:主切到备后,当revert倒计时为0,探测master是否为正常,如主正常则切换为主。

·              配置track mastertrack backuprevert time0

结果:主切换到备后,只有备出现异常才切换到主

·              配置track mastertrack backuprevert time不为0

结果:主切到备后,当revert倒计时为0,探测master是否为正常,如主正常则切换为主。

NATNAT444ALG

(1)      多形态防火墙配置动态NAT时有什么限制?

多形态防火墙配置动态NAT时,不支持Easy IP方式,需要配置NAT地址池,且要求地址池地址个数大于引擎个数,否则资源无法划分。

(2)      配置静态NAT444时需要注意什么?

如果NAT转换之后的地址和出接口地址在同一网段,也需要在设备下一跳加一条反向路由,目的地址为NAT转换之后的地址,下一跳为出接口地址。

(3)      NAT server 配置global地址为Loopback口地址的时候要注意什么?

NAT server 配置global地址为Loopback接口地址时,需要在设备的上一跳加一条正向路由,这条路由的目的地址为Loopback口地址,下一跳为设备入接口地址。

(4)      测试nat ftp alg时,在什么情况下主动方式会命中alg?

出口接服务器,服务器在外网,在出口做nat outbound时,会命中alg,因为主动方式数据通道第一条报文从服务器端发起。

(5)      测试nat ftp alg时,在什么情况下被动方式会命中alg?

服务器在内网,在入口做NAT server时,会命中alg,因为被动方式数据通道第一条报文从客户端发起。

(6)      如何查看动态NAT444是否根据源IP地址上送到一块安全引擎上

如下显示信息所示,查看统计信息,总共1999个用户,目前总统计刚好为1999

<M9006> display nat port-block dynamic | in "Total mappings found:"

Total mappings found: 0

Total mappings found: 0

Total mappings found: 0

Total mappings found: 0

Total mappings found: 0

Total mappings found: 0

Total mappings found: 0

Total mappings found: 0

Total mappings found: 0

Total mappings found: 0

Total mappings found: 0

Total mappings found: 0

Total mappings found: 0

Total mappings found: 0

Total mappings found: 1000

Total mappings found: 0

Total mappings found: 999

Total mappings found: 0

Total mappings found: 0

Total mappings found: 0

Total mappings found: 0

Total mappings found: 0

Total mappings found: 0

会话

(1)      打应用层流量,配置的应用的老化时间为何不生效?

使用display session aging-time application命令显示应用层协议老化时间,是该应用会话建立稳态时的老化时间,否则使用对应的4层协议的老化时间。所有协议在未建立稳态的时候都使用4层协议的老化时间。

(2)      ASPF ICMP差错报文检测能够识别哪些ICMP差错报文?

当前识别的icmp-err的组合有下面这些: ()中为ICMP报文的类型,[]中为ICMP的代码范围。

   type                          code

   ICMP_UNREACH(3)               [0, 12]

   ICMP_SOURCEQUENCH(4)          [0, 0]

   ICMP_REDIRECT(5)              [0, 3]

   ICMP_TIMXCEED(11)             [0, 1]

   ICMP_PARAMPROB(12)            [0, 1]

(3)      为什么会话的收发包统计不正确?

目前为了提高设备的性能,缺省情况下,会话不统计报文数。 

如果需要统计报文数,请在系统视图下配置命令:session  statistic  enable

(4)       IPV4IPV6报文是不是都可以建立会话?

是的,都可以建立会话。

引流

(1)      如何查看设备的分流方法?

由于M9000可以采用多块安全引擎板,所以会涉及到同一个会话要走到同一个安全引擎上的问题。这里指的就是OpenFlow的下发问题。在没有业务的情况下,OpenFlow可以根据2元组保证下发到同一个板卡上(这个为默认的下发原则并不能在设备上查到)。但是如果做了NAT之后5元组变换就要重新下发OpenFlow(下面的查看方法就是这种做了业务之后Openflow原则)

查看OpenFlow的命令:

·              查看接口板上的OpenFlow表项:

<M9006> display openflow instance 4097 flow-table > test.txt  

查看的信息如下,如红色标注分流规则。OpenFlow信息包括IP地址(源IP,目的IP),进接口和出接口。意思就是从符合Match information(进口信息和IP地址(源或者目的))的流量该送往哪个Instruction information Balde插卡)

 

 

·              查看业务板上的OpenFlow表项:

业务板上的OpenFlow表项和接口板的相同。命令行如下:

<M9006> display openflow instance 4096 flow-table

(2)      NAT业务是如何进行分流的?

NAT server配置会下发destinationglobal地址的Open flow,且会把命中NAT server的流量都引向主的安全插卡。同时下发destinationlocal地址的Open flow,且会把命中NAT server的流量都引向主的安全插卡。同时下发sourcelocal地址的Open flow,且会把命中NAT server的流量都引向主的安全插卡。

动态NAT outboundNAT444)的地址池会均匀分配到所有的安全引擎上,然后根据安全引擎上分配到的地址下发反向目的为地址池里的地址走到这块安全引擎上。简单地说就是保证做了NAT的反向流量会从相同的插卡走回来。

静态NATNAT444)的local地址只会下发到主的安全插卡上。它会下发两种openflow。一种是下发目的为local ip,出接口为主业务板的正向openflow。二是下发目的为global ip ,出接口为主业务板的反向Openflow。简单地说就是静态NATNAT444)的流量正反向都会走主业务板。

安全域

(1)      系统缺省安全域有哪些?

缺省情况下,系统支持4个安全域:TrustUntrustDMZLocal域。

(2)      安全域特性方面,和V5版本相比有哪些差异?

V7版本中:

·              创建安全域时,无域ID的概念。

·              安全域没有优先级、共享等属性。

·              同一安全域之间,默认策略是deny的。

(3)      管理口默认在安全域中吗?

管理口默认不在任何安全域,需要加入安全域,并配置该域到Local域的域间策略。

对象策略

(1)      IPv4地址组对象包含哪些地址类型?

主要包括主机地址类型、域名地址类型、网段地址类型、范围地址类型。一个地址组对象可以包含多种地址类型。地址组对象可以嵌套,即一个地址组对象可以包含另外一个地址组对象。

(2)      对象策略的规则匹配顺序是什么?

当一个对象策略中包含多条规则时,报文会按照一定的顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。对象策略规则的匹配顺序与规则的创建顺序有关,先创建的规则优先进行匹配。对象策略规则的显示顺序与匹配顺序一致,即按照域间实例视图下通过display this命令显示的顺序,从上到下依次匹配。同时,对象策略支持通过命令移动规则位置来调整规则的匹配顺序。

(3)      对象策略的类型是什么?

对象策略有2种类型:IPv4地址对象策略、IPv6地址对象策略。

(4)      对象策略中,vrf参数所指vpn-instance指的是入接口还是出接口的vpn-instance

入接口的vpn-instance

域间策略

(1)      object-policy目前的筛选包括哪些特征?

包括特征有:源地址组、目的地址组、服务组、vrf、时间段。

其中,服务组指的是区分四层的承载协议,根据IP头中的协议号来识别。vrf指的是vpn-instance

(2)      object-policy中的rule的匹配序是怎么样的?

根据先上后下的顺序,而不是ID号,例如,存在rule 0 rule 1都可以匹配,那么rule 0 在上方就先匹配rule 0,如果rule 1在上方就先匹配rule 1

(3)      安全域之间,默认域间策略是怎么样的?

默认是deny的。

(4)       域间策略有哪2种方式

包括2种方式:对象组策略和包过滤策略,建议根据实际组网情况选择使用。

(5)      有时明明匹配时间段地址组了,为何显示未匹配?

可能的原因是:存在VPN实例。如果入接口存在VPN实例的,则必须指定vrf,否则无法匹配。

(6)      如果packet-filterobject-policy两者在域间策略中同时存在,优先匹配哪一个?

优先匹配object-policy,而不是packet-filter

(7)      对象组支持引用对象组,那么对象组多级引用对象组,深度上,最深支持几层引用?

支持5层深度的引用。

(8)      域间策略和NAT操作的顺序是怎样的?

NAT server是在域间策略前作转换,域间策略匹配NAT server转换后的IP

NAT outbound是在域间策略后进行转换,域间策略匹配NAT outbund转换前的IP

快转

(1)      相同五元组的流来回走两次设备,如果转发失败,该如何处理?

缺省情况下,系统不关心报文入接口。五元组相同、入接口不同的流量建立的是相同的快转表项,从而导致转发失败。

[M9006]display ip fast-forwarding cache                                             
Total number of fast-forwarding entries: 1                                   
SIP             SPort DIP             DPort Pro Input_If    Output_If   Flg     
198.1.1.2       1024  197.1.20.1      2048  1   Tun2        RAGG3       1      

当配置命令undo ip fast-forwarding load-sharing后,系统关心报文入接口。五元组相同,入接口不同的流量会建立新的快转表项。

[M9006]display ip fast-forwarding cache                                             
Total number of fast-forwarding entries: 2                                    
SIP             SPort DIP             DPort Pro Input_If    Output_If   Flg     
198.1.1.2       1024  197.1.20.1      2048  1   RAGG4       RAGG2       1       
198.1.1.2       1024  197.1.20.1      2048  1   Tun2        RAGG3       1  

IPSec

(1)      发起方IKE profile下配置多个keychain的情况下,是怎样匹配的?

按照配置顺序匹配。

(2)      响应方全局配置了两条相同的IKE proposal,引用了number大的proposal导致了IKE SA建立失败,是什么原因?

响应方首选按照proposalnumber从小到大匹配,第一个匹配上了后再查找自己的profile里面配置的proposal,两者一致的话,才能建立IKE SA,因此响应方要保证自己引用的proposalnumber在相同配置的proposal中是最小的。

(3)      查看transform-set显示不完整是什么原因?

配置了ESP的情况下,必须配置加密算法,不能只配置认证算法。

(4)      发起方带有多个transform-set时,transform-set带有PFS,响应方怎样进行协商?

·              如果发起方第一个配置的transform-set带有PFS,则响应方带有相应的PFS,可以正常协商;

·              如果发起方第一个配置的transform-set不带有PFS,则响应方必须不带有PFS才能正常协商,而不会去和发起方其他带有PFStransform-set进行协商。

(5)      IPsec安全策略发起IKE协商时使用PFS特性,发起方和响应方应该怎样配置?

发起方的PFS强度必须大于或等于响应方的PFS强度,否则IKE协商会失败。

(6)      IPsec策略的相应配置中带有vpn-instance时, ACL规则需要带vpn-instance?

 ACL的规则里面不需要带vpn-instance配置。

(7)      发起方是怎样将proposal发送给响应方的?

作为发起方,如果没有配置proposal,就会将所有proposal列表发给对方,让响应方选择;如果配置了proposal,只发所配置的proposal

PKI

(1)      PKI域下usage命令配置为何不生效?

usage命令是PKI提供一个指定证书扩展用途的命令,证书中携带的扩展用途与CA服务器的策略相关,申请到的证书中的扩展用途可能与此处指定的不完全一致,最终以CA服务器的实际情况为准。

联系我们