<bestvike>dis ike sa verbose con 10542408
-----------------------------------------------
Connection ID: 10542408
Outside VPN:
Inside VPN:
Profile: GE1/0/6_IPv4_113
Transmitting entity: Initiator
-----------------------------------------------
Local IP: 60.208.26.242
Local ID type: IPV4_ADDR
Local ID: 60.208.26.242
Remote IP: 121.26.2.250
Remote ID type: Unknown
Remote ID:
Authentication-method:
Authentication-algorithm:
Encryption-algorithm:
Life duration(sec): 0
Remaining key duration(sec): 0
Exchange-mode: Aggressive
Diffie-Hellman group: Group 14
NAT traversal: Not detected
Extend authentication: Disabled
Assigned IP address:
查看ike sa发现主动发起的ike没有携带信息呢,这是什么情况?
(0)
从你的 display ike sa verbose 结果来看,IKE协商的发起方参数大量缺失,这通常是IKE协商根本没有正常启动,或设备在启动阶段就因参数不匹配而中止了。
最可能的原因有两个:一是触发的感兴趣流ACL配置有问题,导致报文没有命中IPsec策略;二是野蛮模式下本端/对端的身份标识(ID)配置不当或缺失。
IKE协商由“感兴趣流”触发。首先要确认触发IPsec隧道的流量是否正确匹配了IPsec策略中引用的ACL规则。
查看IPsec策略引用的ACL:执行 display ipsec policy 找到该隧道对应的策略,记下引用的ACL编号(如3000)。
检查ACL规则:执行 display acl all,确认规则中源/目的地址与发起端和接收端的实际网段完全匹配,特别注意掩码是否正确。
确认策略应用:确保IPsec策略已正确应用在公网接口(如 GigabitEthernet1/0/6)上,且方向无误。
排除NAT干扰:如果公网接口启用了NAT(Easy IP),需要确保NAT策略排除了IPsec流量。可以在ACL中增加 deny 规则,让IPsec流量不进行NAT转换。
野蛮模式对身份标识(ID)和匹配规则要求严格。你的日志中 Remote ID type: Unknown,表明对端ID识别失败,通常是 ike profile 或 keychain 配置有误。
确认IKE版本与模式:确保两端IKE版本(如IKEv1)和协商模式(Aggressive/野蛮模式)一致,命令为 exchange-mode aggressive。
检查预共享密钥:确认两端预共享密钥(PSK)完全一致,检查 keychain 配置是否正确引用。
核对身份标识(关键):野蛮模式常通过ID互相识别,确保本地和对端的ID类型(address 或 fqdn)及值严格匹配。
核对对端地址:若对端地址固定,remote-address 应配置为对端公网IP。若对端地址动态,remote-address 可配置为 0.0.0.0,并依赖ID匹配。
确保两端的IPsec安全提议(ipsec transform-set)和策略引用无误。
核对安全提议参数:确认两端的 ipsec transform-set 在封装模式(tunnel/transport)、安全协议(ESP/AH)、加密和认证算法上完全一致。
检查策略完整性:确认IPsec策略已正确绑定ACL、ike-profile、transform-set 和对端地址。
如果上述配置检查无误,需要通过实时调试和抓包定位深层原因。
开启Debug调试:在设备上通过 debugging ike all 和 debugging ipsec all 查看详细协商日志,注意NO_PROPOSAL、AUTH_FAIL等错误关键字。
进行报文抓包:在防火墙内联口或出口镜像流量抓包,分析UDP 500/4500端口的ISAKMP报文,检查是否存在报文重传或参数不匹配。
(0)
暂无评论
dis ike sa verbose 信息来看,IKE SA 状态异常、协商完全卡住,核心表现是:Remote ID type: Unknown + Remote ID: 空 → 对端根本没回 ID 载荷,或回的 ID 格式本端不认。# 1) ping 对端公网IP
ping -a 60.208.26.242 121.26.2.250
# 2) 确认UDP 500、4500放通(本地+中间+对端)
display firewall statistic | include 500
display firewall statistic | include 4500
# 3) 抓包(重点看是否有出无回)
display ike statistics # 看IKE报文收发计数
display ike peer 名称 verbose
id-type ip 或 id-type nameIPV4_ADDR,对端必须同类型且 ID 正确id-type ip,对端配成 id-type name → ID 类型不匹配 → Remote ID Unknown# 本端(60.208.26.242)关键配置
ike proposal 10
encryption-algorithm aes-256 # 与对端一致
authentication-algorithm sha2-256
dh group14
sa duration 86400
ike peer GE1/0/6_IPv4_113
exchange-mode aggressive # 野蛮模式
pre-shared-key simple ******** # 密钥一致
ike-proposal 10
remote-address 121.26.2.250
id-type ip # 本端ID类型:IP
local-id 60.208.26.242 # 本端ID
remote-id 121.26.2.250 # 对端ID(必须配!野蛮模式必填)
nat traversal # 如中间有NAT需开启
remote-id,否则对端 ID 无法识别 → Unknown。terminal monitor
terminal logging
debug ike packet # 看IKE报文收发
debug ike error # 看错误信息
ID payload not found → 对端没回 IDNo proposal chosen → 安全提议不匹配Pre-shared key authentication failed → 密钥错No response from peer → 对端无响应aggressiveiplocal-id / remote-idremote-id → 对端 ID Unknown# 清理旧会话
reset ike sa con 10542408
reset ike statistics
# 重新触发流量(ping 对端内网)
# 再查
display ike sa verbose
display ike proposal
display ike peer
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论