问

F5000-AI-40；IKE

IPSec VPN

8小时前提问

0关注
0收藏，69浏览

zhiliao_TBj9oK

zhiliao_TBj9oK 四段

粉丝：0人关注：0人

问题描述：

我防火墙检查了没有配置ipsec VPN，但是系统有大量以下日志

%Mar 4 14:56:11:051 2026 Hjw_B06-35U&36U_Fw01_Master IKE/6/IKE_P1_SA_ESTABLISH_FAIL: Failed to establish phase 1 SA in Main mode IKE_P1_STATE_INIT state.

%Mar 4 16:02:08:454 2026 Hjw_B06-35U&36U_Fw01_Master IKE/6/IKE_P1_SA_ESTABLISH_FAIL: Failed to establish phase 1 SA in Main mode IKE_P1_STATE_INIT state.

设备我发现打开了 ipsec logging negotiation enable这个命令

3 个回答

按时间按赞数

已采纳

有飞不起的鸟

有飞不起的鸟九段

粉丝：18人关注：0人

您遇到的日志问题非常典型。根本原因是：您的防火墙公网接口正在接收来自互联网的、尝试建立IPsec VPN连接的扫描或攻击流量。 设备虽然没有配置任何IPsec策略，但默认会对发往其接口IP地址的IKE协议请求进行响应，由于没有匹配的配置，响应失败并产生了日志。

ipsec logging negotiation enable这个命令加剧了此现象，它开启了详细的协商过程日志，导致每一条探测请求都会生成日志。

问题分析与解决方案

您可以通过以下两种方式解决此问题，方案二是最根本的解决方法。

方案一：关闭详细日志（治标，快速缓解）

执行此命令可以立即停止生成大量日志，但防火墙仍会响应外部IKE探测。

system-view
undo ipsec logging negotiation enable

作用：关闭IPsec协商过程的详细日志，系统将不再记录这些失败的尝试。
影响：在您未来需要调试IPsec VPN问题时，将无法看到详细的协商过程日志。

方案二：在公网接口上禁用IKE服务（治本，推荐）

这是最有效的办法，直接告诉防火墙“不要理会发往这个接口的VPN建立请求”。

进入系统视图和公网接口：

system-view interface GigabitEthernet x/x/x // 请替换为您的实际公网接口编号
在该接口上禁用IKE：

ike service disable
- 核心命令：ike service disable的作用是禁止在该接口上处理入方向的IKE报文。外部发来的IKE请求将被直接丢弃，设备不会进行任何响应，也就不会产生失败日志。
保存配置：

save force

操作建议与总结

首选方案二：在连接互联网的所有公网接口上执行 ike service disable。这是华三防火墙应对此类扫描的标准安全加固操作。
确认业务：在执行前，请再次确认没有任何业务需要通过该公网接口建立入方向的IPsec VPN（如分支机构接入）。通常出方向的VPN（防火墙主动发起连接）不受此命令影响。
日志监控：完成上述操作后，观察日志。如果日志停止，则说明问题已解决。如果仍有少量来自内网或其他接口的日志，则需要定位到具体接口并进行同样处理。

总结：您看到的日志是互联网背景噪音的体现，并非设备故障。通过 在对应的公网接口配置视图下执行 ike service disable命令，可以一劳永逸地解决此问题。