ike错误

1.17.4  身份信息无效导致IPsec SA协商失败

1. 故障现象

(1)     通过display ike sa命令查看当前的IKE SA信息，发现IKE SA协商成功，其状态（Flags字段）为RD。但通过display ipsec sa命令查看当前的IPsec SA时，发现没有协商出相应的IPsec SA。

(2)     打开IKE调试信息开关可以看到以下调试信息：

Notification INVALID_ID_INFORMATION is received.

或者：

Failed to get IPsec policy when renegotiating IPsec SA. Delete IPsec SA.

Construct notification packet: INVALID_ID_INFORMATION.

2. 故障分析

响应方IPsec安全策略配置错误，导致在IKE第二阶段协商时找不到IPsec安全策略，原因可能为如下几点：

(1)     通过display ike sa verbose命令查看IKE一阶段协商中是否找到匹配的IKE profile。若没有找到IKE profile，则会查找全局的IKE参数，因此就要求这种情况下IPsec安全策略中不能引用任何IKE profile，否则协商失败。

通过如下显示信息可以看到，IKE SA在协商过程中没有找到匹配的IKE profile：

<Sysname> display ike sa verbose

   -----------------------------------------------

   Connection ID: 3

   Outside VPN:

   Inside VPN:

   Profile:

   Transmitting entity: Responder

   Initiator COOKIE: 1bcf453f0a217259

   Responder COOKIE: 5e32a74dfa66a0a4

   -----------------------------------------------

   Local IP/port: 192.168.222.5/500

   Local ID type: IPV4_ADDR

   Local ID: 192.168.222.5

   Remote IP/port: 192.168.222.71/500

   Remote ID type: IPV4_ADDR

   Remote ID: 192.168.222.71

   Authentication-method: PRE-SHARED-KEY

   Authentication-algorithm: MD5

   Encryption-algorithm: 3DES-CBC

   Life duration(sec): 86400

   Remaining key duration(sec): 85847

   Exchange-mode: Main

   Diffie-Hellman group: Group 1

   NAT traversal: Not detected

   Vendor ID index: 0xa1d

   Vendor ID sequence number: 0x0

但在IPsec策略中引用了IKE profile profile1：

[Sysname] display ipsec policy

-------------------------------------------

IPsec Policy: policy1

Interface: GigabitEthernet1/0/1

-------------------------------------------

  -----------------------------

  Sequence number: 1

  Mode: ISAKMP

  -----------------------------

  Description:

  Security data flow: 3000

  Selector mode: aggregation

  Local address: 192.168.222.5

  Remote address: 192.168.222.71

  Transform set:  transform1

  IKE profile: profile1

  SA trigger mode: Auto

  SA duration(time based): 3600 seconds

  SA duration(traffic based): 1843200 kilobytes

  SA soft-duration buffer(time based): 1000 seconds

  SA soft-duration buffer(traffic based): 43200 kilobytes

  SA idle time: 100 seconds

  Responder only: Disabled

(2)     查看IPsec安全策略中引用的ACL配置是否正确。

例如，如发起方ACL流范围为网段到网段：

[Sysname] display acl 3000

Advanced IPv4 ACL 3000, 1 rule,

ACL's step is 5

 rule 0 permit ip source 192.168.222.0 0.0.0.255 destination 192.168.222.0 0.0.0.255

响应方ACL流范围为主机到主机：

[Sysname] display acl 3000

Advanced IPv4 ACL 3000, 1 rule,

ACL's step is 5

 rule 0 permit ip source 192.168.222.71 0 destination 192.168.222.5 0

以上配置中，响应方ACL规则定义的流范围小于发起方ACL规则定义的流范围，这会导致IPsec SA协商失败。

(3)     IPsec 安全策略配置不完整。具体包括：没有配置对端地址、没有配置IPsec提议、IPsec提议配置不完整。

例如，如下IPsec安全策略中没有配置隧道的对端IP地址，因此IPsec安全策略是不完整的：

[Sysname] display ipsec policy

-------------------------------------------

IPsec Policy: policy1

Interface: GigabitEthernet1/0/1

-------------------------------------------

  -----------------------------

  Sequence number: 1

  Mode: ISAKMP

  -----------------------------

  Security data flow: 3000

  Selector mode: aggregation

  Local address: 192.168.222.5

  Remote address:

  Transform set:  transform1

  IKE profile: profile1

  SA trigger mode: Auto

  SA duration(time based): 3600 seconds

  SA duration(traffic based): 1843200 kilobytes

  SA soft-duration buffer(time based): 1000 seconds

  SA soft-duration buffer(traffic based): 43200 kilobytes

  SA idle time: 100 seconds

  Responder only: Disabled

3. 处理过程

(1)     若在IKE第一阶段协商过程中没有找到IKE profile，建议在响应方IPsec安全策略中去掉对IKE profile的引用或者调整IKE profile的配置使之能够与发起端相匹配。

(2)     若响应方ACL规则定义的流范围小于发起方ACL规则定义的流范围，建议修改响应方ACL的流范围大于或等于发起方ACL的流范围。以故障分析（2）中的配置为例，可以将响应方ACL流范围修改为：

[Sysname] display acl 3000

Advanced IPv4 ACL 3000, 2 rules,

ACL's step is 5

 rule 0 permit ip source 192.168.222.0 0.0.0.255 destination 192.168.222.0 0.0.0.255

(3)     将IPsec安全策略配置完整。以故障分析中的（3）中的配置为例，需要在IPsec安全策略中配置隧道的对端IP地址。