MSR路由器ipsec ike协商SA失败
- 0关注
- 0收藏,469浏览
问题描述:
从思科转为MSR5620,ipsec vpn协商sa在第二阶段失败,报错如下;检查了ACL匹配到流量的,对端设备无法知道是什么设备也无法看到配置,只确认将ipsec 目的地址更改过。这配置是否有问题呢?
%Jan 13 15:28:44:172 2025 sge IKE/6/IKE_P2_SA_ESTABLISH_FAIL: Failed to establish phase 2 SA in IKE_P2_STATE_GETSP state.
Reason: Failed to get IPsec policy as phase 2 responder.
SA information:
Role: responder
Local address: 117.131.55.162
Remote address: 183.195.117.253
Sour addr: / Port: 0 Protocol:
Dest addr: / Port: 0 Protocol:
Inside VPN instance:
Outside VPN instance:
Inbound AH SPI: 0
Outbound AH SPI: 0
Inbound ESP SPI: 0
Outbound ESP SPI: 0
Initiator COOKIE: a0654bcc9a86874f
Responder COOKIE: 4428d755ad7310c3
Message ID: 0xdae5fa1a
Connection ID: 3204
Tunnel ID: 1
%Jan 13 15:28:46:227 2025 sge IPSEC/6/IPSEC_SA_ESTABLISH_FAIL: Failed to establish IPsec SA.
Reason: The policy contains incorrect ACL or IKE profile configuration..
SA information:
Role: responder.
Local address: 117.131.55.162
Remote address: 183.195.117.253
Sour addr: 19.255.34.80/255.255.255.240 Port: 0 Protocol: IP
Dest addr: 19.194.208.0/255.255.254.0 Port: 0 Protocol: IP
Inside VPN instance:
Outside VPN instance:
Inbound AH SPI: 0
Outbound AH SPI: 0
组网及组网描述:
MSR配置
acl advanced name IPSec
rule 0 permit ip source 19.255.34.80 0.0.0.15 destination 19.194.208.0 0.0.1.255
#
pki domain sge
ca identifier sge
certificate request from ca
certificate request entity sge
public-key rsa general name sge
undo crl check enable
#
pki entity sge
common-name sge
#
pki certificate access-control-policy policy1
rule 1 permit group2
#
pki certificate attribute-group group2
attribute 1 subject-name dn ctn sge
#
ipsec logging packet enable
ipsec sa idle-time 7200
ipsec logging negotiation enable
ipsec logging ipsec-p2mp enable
#
ipsec transform-set tran1
esp encryption-algorithm 3des-cbc
esp authentication-algorithm sha1
pfs dh-group2
#
ipsec policy IPSec_CMCC 10 isakmp
transform-set tran1
security acl name IPSec
remote-address 183.195.117.253
ike-profile To_CMCC
sa duration time-based 7200
#
ike logging negotiation enable
#
ike profile To_CMCC
certificate domain sge
proposal 10
#
ike proposal 10
authentication-method rsa-signature
encryption-algorithm 3des-cbc
dh group2
authentication-algorithm md5
sa duration 7200
#
原思科设备配置
crypto isakmp policy 10
encr 3des
hash md5
group 2
lifetime 7200
!
crypto ipsec security-association lifetime seconds 7200
!
crypto ipsec transform-set set1 esp-3des esp-sha-hmac
mode tunnel
!
!
!
crypto map vpnmap 10 ipsec-isakmp
set peer 183.195.117.253
set transform-set set1
match address 100
- 2025-01-13提问
- 举报
-
(0)
根据您提供的错误信息以及问题描述,MSR5620在IPsec VPN的第二阶段协商失败的常见原因和排查建议如下:
问题分析
从错误日志中可以看出:
-
第一阶段协商成功:
- 错误信息显示“Failed to establish phase 2 SA”,说明IKE第一阶段(Phase 1)已经成功建立,双方完成了身份验证。
-
第二阶段失败原因:
- 错误信息提示:
Reason: Failed to get IPsec policy as phase 2 responder.以及:Reason: The policy contains incorrect ACL or IKE profile configuration.表明问题可能集中在以下几点:- IPsec策略(ACL或流量选择器)配置不匹配。
- IKE profile配置不匹配(例如加密算法、PFS等)。
- 目的地址变更可能导致对端流量匹配问题。
- 错误信息提示:
-
流量选择器(Traffic Selector)不匹配:
- 第二阶段协商的核心是双方对IPsec流量选择器(通常由ACL定义的源地址和目的地址范围)进行匹配。
- 日志中:
Sour addr: 19.255.34.80/255.255.255.240 Dest addr: 19.194.208.0/255.255.254.0如果本地配置的流量选择器与对端配置不一致,协商会失败。
排查步骤与建议
1. 检查IPsec策略中的ACL
- 确保定义的ACL流量范围与对端设备一致。
- 检查流量选择器的源地址和目的地址是否正确。
- 示例:
acl number 3001 rule 10 permit ip source 19.255.34.80 0.0.0.15 destination 19.194.208.0 0.0.1.255 - 如果对端设备的IPsec目的地址发生变更,确认是否更新了相关ACL。
2. 验证IPsec配置
- 确保IPsec配置中的
transform-set与对端一致,包括加密算法、认证算法和PFS等。 - 示例:
ipsec proposal 1 esp authentication-algorithm sha1 esp encryption-algorithm aes-256 pfs dh-group2
3. 检查IKE配置
- 验证IKE的加密算法、认证方式、Diffie-Hellman组是否与对端一致。
- 示例:
ike proposal 1 encryption-algorithm aes-256 authentication-algorithm sha1 dh-group2 prf sha1
4. 确认对端IPsec目的地址变更后的影响
- 确保新目的地址与VPN策略中的远程地址匹配。
- 如果对端IP地址发生变更,需更新
ipsec policy或ike peer配置中的远端地址。 - 示例:
ike peer peer1 remote-address 183.195.117.253
5. 验证对端设备是否启用了NAT
- 如果对端设备启用了NAT,可能需要启用NAT-T(NAT Traversal)。
- 示例:
ipsec policy 1 10 isakmp transform-set 1 nat-traversal enable
6. 启用调试日志
- 启用相关调试命令捕获更多细节:
debugging ike common debugging ipsec error debugging ipsec packet检查是否有关于流量选择器或加密配置的具体错误。
7. 双方协商重试
- 确保对端设备也更新了配置,重新发起协商。
- 在MSR5620上手动清除现有SA:
reset ike sa reset ipsec sa
其他建议
-
验证基础连接:
- 确保MSR5620和对端设备之间的基础网络连接(Ping对端公网地址)是畅通的。
-
使用诊断命令:
- 查看当前IPsec策略和SA状态:
display ipsec policy display ipsec sa - 检查IKE的会话状态:
display ike sa
- 查看当前IPsec策略和SA状态:
-
联系对端管理员:
- 如果对端配置无法查看,建议联系对端管理员确认其配置是否匹配,包括流量选择器、IPsec算法和Ike profile。
总结
您的配置可能存在以下问题:
- ACL流量范围不匹配。
- IPsec或IKE的加密算法配置与对端不一致。
- 对端目的地址变更后未同步更新本地策略。
按照上述排查步骤,调整配置并启用调试日志进一步定位问题。如果需要更详细的帮助,可以提供当前设备的IPsec和IKE配置内容。
- 2025-01-13回答
- 评论(0)
- 举报
-
(0)
暂无评论
已解决,在ipsec policy中增加配置local-address,ike profile中增加match remote certificate关联证书,不太清楚为什么,因为这两条都不是必选配置;
- 2025-01-14回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论