总部-----分支
ikev1 主模式
无
display ike sa 状态为unknow
ipsec业务不通
分支较多,收debug是加对端公网地址
<F1030-NEW>debugging ipsec packet remote ?
分支报错如下:
Failed to parse phase 1 packet. Reason INVALID_PAYLOAD_TYPE.
抓包发现分支没回一阶段第6个isakmp协商包,怀疑是分支问题
根据如下经验案例怀疑是keychain不匹配,重新配置后故障依旧
https://zhiliao.h3c.com/questions/dispcont/112653
debug发现
两个密钥都能命中,设备选了SH,但接口调用的1所以无法协商
切记ipsec各配置不能重合 ,两个keychain 配置了相同的对端address
IKE/7/EVENT: -COntext=1; vrf = 0, local = 1.1.1.1, remote = 2.2.2.2/500
Found pre-shared key that matches address 2.2.2.2 in keychain SH.
#
ike keychain 1
pre-shared-key address 2.2.2.2 255.255.255.255 key cipher $c$3$8EEqNysP95qtbbjnC/LunS7lEX/ZqjSOx8uPer4=
#
ike keychain SH
pre-shared-key address 2.2.2.2 255.255.255.255 key cipher $c$3$Ui/S9huRqu2vC8xkERJw1jpY2u3BkAq8vOrSmzxIug==
删除ike keychain SH后正常
虽然sh这个 keychain没有调用,依然影响协商
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作