• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

ipsecvpn二阶段失败

2025-07-04提问
  • 0关注
  • 1收藏,305浏览
李荣浩
李荣浩 四段
粉丝:0人 关注:0人

问题描述:

帮忙分析下二阶段没起来的原有,debug如下:

RBM_P<YNQJ-EIS-E22C100-HL-S-IFW-F5000-1>*Jul  5 03:03:49:908 2025 YNQJ-EIS-E22C100-HL-S-IFW-F5000-1 IPSEC/7/EVENT: -COntext=1; 

 Could not find tunnel, ike profile name is .

%Jul  5 03:03:49:909 2025 YNQJ-EIS-E22C100-HL-S-IFW-F5000-1 IPSEC/6/IPSEC_SA_ESTABLISH_FAIL: -COntext=1; Failed to establish IPsec SA.

Reason: Getting SP by L3 interface: Failed to match SP because IKE profile was  while IPsec used profile IPSEC_EIS_H3C.

SA information:

Role: responder.

Local address: 172.16.200.200

Remote address: 36.133.24.75

Sour addr: 172.16.200.200/255.255.255.255 Port: 0 Protocol: IP

Dest addr: 36.133.24.75/255.255.255.255 Port: 0 Protocol: IP

Inside VPN instance: 

Outside VPN instance: 

Inbound AH SPI: 0

Outbound AH SPI: 0

Inbound ESP SPI: 0

Outbound ESP SPI: 0

ACL number: 

 

*Jul  5 03:03:49:908 2025 YNQJ-EIS-E22C100-HL-S-IFW-F5000-1 IPSEC/7/EVENT: -COntext=1; 

Failed to match profile: IKE profile was  while IPsec used profile IPSEC_EIS_H3C.

%Jul  5 03:03:49:909 2025 YNQJ-EIS-E22C100-HL-S-IFW-F5000-1 IPSEC/6/IPSEC_SA_ESTABLISH_FAIL: -COntext=1; Failed to establish IPsec SA.

Reason: The policy contains incorrect ACL or IKE profile configuration.

SA information:

Role: responder.

Local address: 172.16.200.200

Remote address: 36.133.24.75

Sour addr: 172.16.200.200/255.255.255.255 Port: 0 Protocol: IP

Dest addr: 36.133.24.75/255.255.255.255 Port: 0 Protocol: IP

Inside VPN instance: 

Outside VPN instance: 

Inbound AH SPI: 0

Outbound AH SPI: 0

Inbound ESP SPI: 0

Outbound ESP SPI: 0

ACL number: 

 

*Jul  5 03:03:49:908 2025 YNQJ-EIS-E22C100-HL-S-IFW-F5000-1 IPSEC/7/EVENT: -COntext=1; 

 Could not find tunnel, ike profile name is .

%Jul  5 03:03:49:909 2025 YNQJ-EIS-E22C100-HL-S-IFW-F5000-1 IKE/6/IKE_P2_SA_ESTABLISH_FAIL: -COntext=1; Failed to establish phase 2 SA in IKE_P2_STATE_GETSP state.

Reason: Failed to get IPsec policy as phase 2 responder.

SA information:

Role: responder

Local address: 172.16.200.200

Remote address: 36.133.24.75

Sour addr: / Port: 0 Protocol: 

Dest addr: / Port: 0 Protocol: 

Inside VPN instance: 

Outside VPN instance: 

Inbound AH SPI: 0

Outbound AH SPI: 0

Inbound ESP SPI: 0

Outbound ESP SPI: 0

Initiator COOKIE: ec4f2b8b050a982b

Responder COOKIE: 2ddc5dcabb38b853

Message ID: 0xf5effe5f

Connection ID: 76

Tunnel ID: 1

 

*Jul  5 03:03:49:908 2025 YNQJ-EIS-E22C100-HL-S-IFW-F5000-1 IPSEC/7/EVENT: -COntext=1; 

Failed to match profile: IKE profile was  while IPsec used profile IPSEC_EIS_H3C.

 

最佳答案

已采纳
zhiliao_sEUyB
zhiliao_sEUyB 九段
粉丝:116人 关注:9人

 Failed to establish IPsec SA.

Reason: Getting SP by L3 interface: Failed to match SP because IKE profile was  while IPsec used profile IPSEC_EIS_H3C.

 

Failed to establish IPsec SA.

Reason: The policy contains incorrect ACL or IKE profile configuration.

 

 Failed to establish phase 2 SA in IKE_P2_STATE_GETSP state.

Reason: Failed to get IPsec policy as phase 2 responder.


1.    IKE Profile 不匹配

日志明确提示:Failed to match SP because IKE profile was while IPsec used profile IPSEC_EIS_H3C

问题本质IPsec 策略引用的 IKE ProfileIPSEC_EIS_H3C)与实际配置不匹配或不存在。设备在协商时无法找到匹配的安全策略(SP)。

2.    ACL IKE Profile 配置错误

日志显示:The policy contains incorrect ACL or IKE profile configuration

可能场景

IPsec 策略中引用的 ACL(如 ACL 3100)未正确定义感兴趣流量。

ACL 的源/目的地址范围与对端不一致(如响应方 ACL 范围小于发起方)。

IKE Profile 中关键参数(如 match remote identity)未正确定义对端身份。

3.    第二阶段协商失败

日志提示:Failed to get IPsec policy as phase 2 responder

问题根源:响应方在第二阶段协商时未找到匹配的 IPsec 策略,通常由 IKE Profile ACL 错误引发。

二、解决步骤(按优先级排序)

步骤1:检查 IKE Profile 名称一致性

IPsec 策略中确认引用的 IKE Profile 名称(如 IPSEC_EIS_H3C)是否与配置完全一致。

修复示例

ipsec policy policy1 10 isakmp

  ike-profile IPSEC_EIS_H3C  # 确保名称完全匹配

步骤2:核对 ACL 配置

发起方与响应方 ACL 必须互逆

发起方 ACLrule permit ip source A-net dest B-net

响应方 ACLrule permit ip source B-net dest A-net

禁止范围覆盖:避免多个策略共用同一 ACL(案例显示此问题会导致 VPN 无法触发)。

步骤3:验证 IKE Profile 身份匹配

检查本地/对端身份声明

ike profile IPSEC_EIS_H3C

  local-identity address 本端公网IP    # 必须与实际出口IP一致

  match remote identity address 对端公网IP  # 必须精确匹配对端IP或域名

步骤4:检查 IPsec 策略完整性

必须配置的参数

本端/远端地址(local-address & remote-address

关联的 IPsec Transform Set(加密算法需两端一致)

验证命令

display ipsec policy  # 确认无缺失参数

 

完成配置修正后:

1.    清除旧 SA

reset ipsec sa

reset ike sa

2.    触发流量重协商(如从内网 Ping 对端子网)。

3.    查看状态:

display ike sa    # 验证 Phase1 状态为"RD"

display ipsec sa  # 验证 Phase2 有活跃 SA

 注意:若问题仍存,开启 debugging ike all  debugging ipsec all,根据具体协商报文定位细节。重点关注 INVALID_ID_INFORMATION  NO_PROPOSAL_CHOSEN 等错误代码。

 



暂无评论

0 个回答
按时间 按赞数

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
网站相关
关于我们
服务条款
隐私政策
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2025新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明