• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

F1030_ipsec vpn第一阶段Unknown

2019-04-08提问
  • 0关注
  • 1收藏,1294浏览
粉丝:0人 关注:0人

问题描述:

通过debu发现发现第1阶段协商冲突

*Apr 8 13:07:34:205 2019 hnzx IKE/7/PACKET: -COntext=1; vrf = 0, local = 222.88.200.138, remote = 125.46.12.82/500 Collision of phase 1 negotiation is found

A设备配置

acl advanced 3000

 description nat

 rule 1 deny ip source 10.20.2.0 0.0.1.255 destination 10.0.18.0 0.0.0.255

 rule 2 deny ip source 10.20.2.0 0.0.1.255 destination 192.168.5.0 0.0.0.255

 rule 3 deny ip source 10.20.2.0 0.0.1.255 destination 10.0.10.0 0.0.0.255

 rule 4 deny ip source 10.20.0.0 0.0.0.255 destination 192.168.156.0 0.0.1.255

 rule 20 permit ip 

acl advanced name IPsec_GE1/0/15_IPv4_3

 rule 1 permit ip source 10.20.0.0 0.0.0.255 destination 192.168.156.0 0.0.1.255 

ipsec transform-set GE1/0/15_IPv4_3

 esp encryption-algorithm 3des-cbc

 esp authentication-algorithm md5 

ipsec policy fz 3 isakmp 

 transform-set GE1/0/15_IPv4_3

 security acl name IPsec_GE1/0/15_IPv4_3

 local-address 222.88.200.138

 remote-address 125.46.12.82 

 ike-profile GE1/0/15_IPv4_3

 sa duration time-based 28800 

# ike profile GE1/0/15_IPv4_3

 keychain GE1/0/15_IPv4_3

 local-identity address 222.88.200.138

 match remote identity address 125.46.12.82 255.255.255.255

 match local address GigabitEthernet1/0/15

 proposal 3 

 # 

ike proposal 3

 encryption-algorithm 3des-cbc

 authentication-algorithm md5 

ike keychain GE1/0/15_IPv4_3

 match local address GigabitEthernet1/0/15

 pre-shared-key address 125.46.12.82 255.255.255.255 key cipher $c$3$GUPHxerZxJlpAJKtjnqDP6Ijo5LXiB+9sA== 

#

B设备配置

acl advanced 3000

 description nat

 rule 1 deny ip source 192.168.156.0 0.0.1.255 destination 10.0.18.0 0.0.0.255

 rule 2 deny ip source 192.168.156.0 0.0.1.255 destination 192.168.5.0 0.0.0.255

 rule 10 deny ip source 192.168.156.0 0.0.1.255 destination 10.20.0.0 0.0.0.255

 rule 20 permit ip 

acl advanced name IPsec_GE1/0/15_IPv4_3

 rule 1 permit ip source 192.168.156.0 0.0.1.255 destination 10.20.0.0 0.0.0.255 

ipsec transform-set GE1/0/15_IPv4_3

 esp encryption-algorithm 3des-cbc

 esp authentication-algorithm md5 

 # ipsec policy fz 3 isakmp

 transform-set GE1/0/15_IPv4_3

 security acl name IPsec_GE1/0/15_IPv4_3

 local-address 125.46.12.82

 remote-address 222.88.200.138 

 ike-profile GE1/0/15_IPv4_3

 sa duration time-based 28800 

ike profile GE1/0/15_IPv4_3

 keychain GE1/0/15_IPv4_3

 local-identity address 125.46.12.82

 match remote identity address 222.88.200.138 255.255.255.255

 match local address GigabitEthernet1/0/15

 proposal 3 

 # 

ike proposal 3

 encryption-algorithm 3des-cbc

 authentication-algorithm md5 

ike keychain GE1/0/15_IPv4_3

 match local address GigabitEthernet1/0/15

 pre-shared-key address 222.88.200.138 255.255.255.255 key cipher $c$3$AADUla4UFyKnQ2wHf+rh2nfaOdRU3IspfA== 

#

最佳答案

粉丝:8人 关注:0人

两边是否都没有ike sa,可以排查下


  1. 首先检查两端设备是否可以相互ping通,保证两端设备通信正常。

  2. 检查两端设备配置是否一致,主要从感兴趣流、预共享密钥确认一致、ike算法确认一致。

  3. 确认下两端设备出接口上是否有NAT业务,如果有NAT业务的话,流量会先匹配NAT模块走掉而不匹配IPSec,所以需要在NATacl中先配置rule deny掉感兴趣流。对于V5平台的设备就方便得多,可以在外网口配置ipsec no-nat-process enable这个命令来实现。

  4. 还有一种情况,FW1-----路由器,做野蛮模式的ipsec vpn,已经针对acl 3200这条保护流建立了一条ipsec vpn隧道了,客户参照这个在两端针对这个acl 3201再做一条ipsec vpn,就是建立不起来,连lke sa都没有。

    其中acl advanced 3200


     rule 0 permit ip source 10.100.0.0 0.0.255.255 destination 192.168.2.0 0.0.0.255
    #
    acl advanced 3201
     rule 0 permit ip source 10.100.0.0 0.0.255.255 destination 10.103.10.0 0.0.0.255
    #


这样的话,两个感兴趣流的源IP是同一个网段,这样在协商的过程中可能出现一些错误,需要在对端配置ipsec策略的时候需要写fqdn而不能写address


 


  1. 注意下面这一种情况:


ike profile 1


keychain 1


local-identity address 221.238.76.226


match remote identity address 0.0.0.0 0.0.0.0


proposal 1 2 3 4 5 6


#


ike profile GE1/0/0_IPv4_5


keychain GE1/0/0_IPv4_5


local-identity address 221.238.76.226


match remote identity address 0.0.0.0 0.0.0.0


proposal 65534


 


以上配置有冲突,这条流在匹配profile的时候就会看到两个localremote都包含的,所以他选择了proposal号大的去匹配,所以出现debug里面Failed to find proposal 4 in profile GE1/0/0_IPv4_5


另外也要注意,如果配置了多个号码不一样的proposal,而且这些proposal中的算法一样的话,配置中profile引用的是号小的proposal也是有问题的,会优先匹配算法一致的大号的proposal,需要注意保持配置的清洁性,不要配置多余的配置,如果有多个profile使用一样的算法,可以只配置一个proposal给多个profile来引用。


1 个回答
粉丝:7人 关注:0人

第一阶段参数问题,这种一般情况都是配置问题,排查下ike的相关配置吧。实在找不到原因,删除第一阶段重新配置下。

就上述配置来看确实没有毛病

ChanyiC 发表时间:2019-04-08 更多>>

这个我知道,我附的配置有没问题,核对过好几次了,配置上没看出问题

zhiliao_KMnXD 发表时间:2019-04-08

就上述配置来看确实没有毛病

ChanyiC 发表时间:2019-04-08

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明