PS:很久又沒有更新過了,刷一下存在感吧。
SRX與NetScreen之間建立點對點***的配置其實和普通的SRX與SRX之間或者NetScreen與NetScreen之間的配置一樣,沒有什麼特別的地方,但是這次在做一個SRX與NetScreen之間的***時遇到了點問題。
***做好後,在Netscreen側出現如下錯誤提示:
2014-09-22 11:39:46 info Rejected an IKE packet on ethernet0/0 from x.x.x.x::500 to x.x.x.x:500 with cookies e454e3f78aa1799c and ed8e53025878ee21 because There was a preexisting session from the same peer.
就是這個錯誤搞了我兩天,一直沒有想到解決方法,在網上尋找答案的時候在Juniper的官網論壇也碰到有人發過這個問題,給的答覆是在Netscreen側修改ike soft-lifetime-buffer,但是我按照這個方法修改完後還是不行,所以就徹底沒轍了。
今天外面出差,晚上吃飯的時候先是同事打電話給我說這個問題領導知道了,下達死命令今天晚上必須解決,我擦,我說只能盡力,不保證。掛斷電話後剛吃了兩口,領導就打電話過來了,並且電話中語氣特別嚴厲的告訴我,必須今天解決掉!!我只能說好的,一定想辦法解決
回酒店後重新按照以前的標準方法建立了一次,問題依舊,懷疑是不是於是修改P1和P2的協商時間問題?於是又是各種時間嘗試,還是沒有解決,崩潰了!
沒辦法,最後想到乾脆在SRX側debug ***協商看一下吧,就是這個操作,找到了問題的真正原因啊!(早就應該debug的)
Nov 10 22:27:49 AMHZLZ kmd[1427]: IKE negotiation failed with error: Authentication failed. IKE Version: 1, ***: To-IDC Gateway: IKE-Gateway, Local: x.x.x.x/500, Remote: y.y.y.y/500, Local IKE-ID: x.x.x.x, Remote IKE-ID: z.z.z.z, VR-ID: 0
看到了麼?IKE協商失敗,發現裏面的Remote IKE Gateway IP與Remote IKE-ID不一樣,頓時想到了一個問題,我的Netscreen是在內網,通過外網的防火牆映射一個公網IP出去的,y.y.y.y就是Netscreen被映射的公網IP,而z.z.z.z是內網IP,於是乎在Netscreen側配置IKE Gateway的時候手動指定local-id爲公網映射的IP地址後,奇蹟發生了,***瞬間OK了!~
呵呵,其實這臺Netscreen還與其他好多地點都建立了點對點的***,不用指定local-id也不會有問題,這是第一次做與SRX的,就出現了這個問題,不過總算是找到問題原因並且解決了,以後再碰到類似的案件就知道如何對應了。