PS:很久又没有更新过了,刷一下存在感吧。t_0020.gif


SRX与NetScreen之间建立点对点***的配置其实和普通的SRX与SRX之间或者NetScreen与NetScreen之间的配置一样,没有什么特别的地方,但是这次在做一个SRX与NetScreen之间的***时遇到了点问题。

***做好后,在Netscreen侧出现如下错误提示:

2014-09-22 11:39:46 info Rejected an IKE packet on ethernet0/0 from x.x.x.x::500 to x.x.x.x:500 with cookies e454e3f78aa1799c and ed8e53025878ee21 because There was a preexisting session from the same peer.


就是这个错误搞了我两天,一直没有想到解决方法,在网上寻找答案的时候在Juniper的官网论坛也碰到有人发过这个问题,给的答复是在Netscreen侧修改ike soft-lifetime-buffer,但是我按照这个方法修改完后还是不行,所以就彻底没辙了。


今天外面出差,晚上吃饭的时候先是同事打电话给我说这个问题领导知道了,下达死命令今天晚上必须解决,我擦,我说只能尽力,不保证。挂断电话后刚吃了两口,领导就打电话过来了,并且电话中语气特别严厉的告诉我,必须今天解决掉!!我只能说好的,一定想办法解决t_0012.gif


回酒店后重新按照以前的标准方法建立了一次,问题依旧,怀疑是不是于是修改P1和P2的协商时间问题?于是又是各种时间尝试,还是没有解决,崩溃了!t_0010.gif


没办法,最后想到干脆在SRX侧debug ***协商看一下吧,就是这个操作,找到了问题的真正原因啊!(早就应该debug的)

Nov 10 22:27:49  AMHZLZ kmd[1427]: IKE negotiation failed with error: Authentication failed. IKE Version: 1, ***: To-IDC Gateway: IKE-Gateway, Local: x.x.x.x/500, Remote: y.y.y.y/500, Local IKE-ID: x.x.x.x, Remote IKE-ID: z.z.z.z, VR-ID: 0

看到了么?IKE协商失败,发现里面的Remote IKE Gateway IP与Remote IKE-ID不一样,顿时想到了一个问题,我的Netscreen是在内网,通过外网的防火墙映射一个公网IP出去的,y.y.y.y就是Netscreen被映射的公网IP,而z.z.z.z是内网IP,于是乎在Netscreen侧配置IKE Gateway的时候手动指定local-id为公网映射的IP地址后,奇迹发生了,***瞬间OK了!~t_0003.gif


呵呵,其实这台Netscreen还与其他好多地点都建立了点对点的***,不用指定local-id也不会有问题,这是第一次做与SRX的,就出现了这个问题,不过总算是找到问题原因并且解决了,以后再碰到类似的案件就知道如何对应了。