F1030_ipsec vpn第一阶段Unknown
- 0关注
- 1收藏,1262浏览
问题描述:
通过debu发现发现第1阶段协商冲突
*Apr 8 13:07:34:205 2019 hnzx IKE/7/PACKET: -COntext=1; vrf = 0, local = 222.88.200.138, remote = 125.46.12.82/500 Collision of phase 1 negotiation is found
A设备配置
acl advanced 3000
description nat
rule 1 deny ip source 10.20.2.0 0.0.1.255 destination 10.0.18.0 0.0.0.255
rule 2 deny ip source 10.20.2.0 0.0.1.255 destination 192.168.5.0 0.0.0.255
rule 3 deny ip source 10.20.2.0 0.0.1.255 destination 10.0.10.0 0.0.0.255
rule 4 deny ip source 10.20.0.0 0.0.0.255 destination 192.168.156.0 0.0.1.255
rule 20 permit ip
#
acl advanced name IPsec_GE1/0/15_IPv4_3
rule 1 permit ip source 10.20.0.0 0.0.0.255 destination 192.168.156.0 0.0.1.255
#
ipsec transform-set GE1/0/15_IPv4_3
esp encryption-algorithm 3des-cbc
esp authentication-algorithm md5
#
ipsec policy fz 3 isakmp
transform-set GE1/0/15_IPv4_3
security acl name IPsec_GE1/0/15_IPv4_3
local-address 222.88.200.138
remote-address 125.46.12.82
ike-profile GE1/0/15_IPv4_3
sa duration time-based 28800
# ike profile GE1/0/15_IPv4_3
keychain GE1/0/15_IPv4_3
local-identity address 222.88.200.138
match remote identity address 125.46.12.82 255.255.255.255
match local address GigabitEthernet1/0/15
proposal 3
#
ike proposal 3
encryption-algorithm 3des-cbc
authentication-algorithm md5
#
ike keychain GE1/0/15_IPv4_3
match local address GigabitEthernet1/0/15
pre-shared-key address 125.46.12.82 255.255.255.255 key cipher $c$3$GUPHxerZxJlpAJKtjnqDP6Ijo5LXiB+9sA==
#
B设备配置
acl advanced 3000
description nat
rule 1 deny ip source 192.168.156.0 0.0.1.255 destination 10.0.18.0 0.0.0.255
rule 2 deny ip source 192.168.156.0 0.0.1.255 destination 192.168.5.0 0.0.0.255
rule 10 deny ip source 192.168.156.0 0.0.1.255 destination 10.20.0.0 0.0.0.255
rule 20 permit ip
#
acl advanced name IPsec_GE1/0/15_IPv4_3
rule 1 permit ip source 192.168.156.0 0.0.1.255 destination 10.20.0.0 0.0.0.255
#
ipsec transform-set GE1/0/15_IPv4_3
esp encryption-algorithm 3des-cbc
esp authentication-algorithm md5
# ipsec policy fz 3 isakmp
transform-set GE1/0/15_IPv4_3
security acl name IPsec_GE1/0/15_IPv4_3
local-address 125.46.12.82
remote-address 222.88.200.138
ike-profile GE1/0/15_IPv4_3
sa duration time-based 28800
#
ike profile GE1/0/15_IPv4_3
keychain GE1/0/15_IPv4_3
local-identity address 125.46.12.82
match remote identity address 222.88.200.138 255.255.255.255
match local address GigabitEthernet1/0/15
proposal 3
#
ike proposal 3
encryption-algorithm 3des-cbc
authentication-algorithm md5
#
ike keychain GE1/0/15_IPv4_3
match local address GigabitEthernet1/0/15
pre-shared-key address 222.88.200.138 255.255.255.255 key cipher $c$3$AADUla4UFyKnQ2wHf+rh2nfaOdRU3IspfA==
#
- 2019-04-08提问
- 举报
-
(0)
最佳答案
两边是否都没有ike sa,可以排查下
首先检查两端设备是否可以相互ping通,保证两端设备通信正常。
检查两端设备配置是否一致,主要从感兴趣流、预共享密钥确认一致、ike算法确认一致。
确认下两端设备出接口上是否有NAT业务,如果有NAT业务的话,流量会先匹配NAT模块走掉而不匹配IPSec,所以需要在NAT的acl中先配置rule deny掉感兴趣流。对于V5平台的设备就方便得多,可以在外网口配置ipsec no-nat-process enable这个命令来实现。
还有一种情况,FW1-----路由器,做野蛮模式的ipsec vpn,已经针对acl 3200这条保护流建立了一条ipsec vpn隧道了,客户参照这个在两端针对这个acl 3201再做一条ipsec vpn,就是建立不起来,连lke sa都没有。
其中acl advanced 3200
rule 0 permit ip source 10.100.0.0 0.0.255.255 destination 192.168.2.0 0.0.0.255
#
acl advanced 3201
rule 0 permit ip source 10.100.0.0 0.0.255.255 destination 10.103.10.0 0.0.0.255
#
这样的话,两个感兴趣流的源IP是同一个网段,这样在协商的过程中可能出现一些错误,需要在对端配置ipsec策略的时候需要写fqdn而不能写address。
注意下面这一种情况:
ike profile 1
keychain 1
local-identity address 221.238.76.226
match remote identity address 0.0.0.0 0.0.0.0
proposal 1 2 3 4 5 6
#
ike profile GE1/0/0_IPv4_5
keychain GE1/0/0_IPv4_5
local-identity address 221.238.76.226
match remote identity address 0.0.0.0 0.0.0.0
proposal 65534
以上配置有冲突,这条流在匹配profile的时候就会看到两个local和remote都包含的,所以他选择了proposal号大的去匹配,所以出现debug里面Failed to find proposal 4 in profile GE1/0/0_IPv4_5。
另外也要注意,如果配置了多个号码不一样的proposal,而且这些proposal中的算法一样的话,配置中profile引用的是号小的proposal也是有问题的,会优先匹配算法一致的大号的proposal,需要注意保持配置的清洁性,不要配置多余的配置,如果有多个profile使用一样的算法,可以只配置一个proposal给多个profile来引用。
- 2019-04-08回答
- 评论(0)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明