组网及说明
现场两台防火墙直连,根据护网要求需要建立ipsec,之前本端设备上建立了一个国密的ipsec,现在需要增加一条普通的ipsec隧道。对端没有任何ipsec隧道
目前第一阶段起不来,ike sa 本端unkonw,对端没有ike sa任何信息
本端172.19.251.41
对端172.19.251.42
问题描述
已有一条国密ipsec的前提下,新增一条预共享密钥的ipsec隧道,第一阶段起不来
过程分析
本端debug看,还是在走国密的协商,说明ike proposal调用的有问题
查看本端的ike配置:
#
ike profile profile10
keychain keychain1
match remote identity address 172.19.251.42 255.255.255.252
发现没有调用proposal。没有调用proposal的话,那么设备会根据优先级去上取ike proposal 数值最小的proposal,注意,default的proposal优先级最低。ike proposal的数值越小优先级越高
所以新增的ipsec隧道选取了优先级高的国密proposal
解决方法
配置一个优先级高的proposal,缺省配置是pre-shared key ,不需要修改,直接用空配置的proposal即可
随后profile里调用这个即可