null
现场反馈总部M9000设备与分支F5000采用主模式建立ipsec隧道失败,总部与多个分支建立隧道,仅和此分支建立存在问题,多次核对两侧配置并无问题,情况异常,收到反馈后我们迅速展开分析处理。
1、 首先还是再次核对总部与分支的ipsce隧道配置暂时未发现问题,两侧的配置正确。
查看两边ike和ipsec建立情况
display ike sa
Connection-ID Remote Flag DOI
1 61.xxx.xxx.2 Unknown IPsec
发现IKE SA的状态(Flags字段)为Unknown。ipsec第一阶段建立失败。
display ipsec sa则没有输出。
2、
分支:debug ike all;debug ipsec all
Failed to find SA by SP, SP Index = 0, SP Convert-Seq = 65536.
*Sep 7 15:41:59:505 2020 FW1 IPSEC/7/ERROR: -COntext=1;
The reason of dropping packet is no available IPsec tunnel.
*Sep 7 15:42:00:505 2020 FW1 IPSEC/7/EVENT: -COntext=1;
Found block-flow node.
总部:debugging ike packet remote-address 61.xxx.xxx.2(分支公网地址)
Construct notification packet: PAYLOAD_MALFORMED.
Sending packet to 61.xxx.xxx.2 remote port 500, local port 500
I-COOKIE: 951ce356c5fb8373
R-COOKIE: e3cc4a0bab473b80
next payload: HASH
version: ISAKMP Version 1.0
exchange mode: Info
flags: ENCRYPT
message ID: 72329b9f
length: 76
Sending an IPv4 packet.
from 58.xxx.xx.178 denied to access 239.xxx.xxx.250:1900.
the reason of invalid ID information. The SA's source address is 203.xxx.xxx.34, and its destination address is 61.xx.xxx.26.
总部的报错为PAYLOAD_MALFORMED.
出现这个报错,故障原因可能为以下两点:
(1) 匹配到的IKE
profile中没有引用协商过程中匹配到的IKE提议。
通过调试信息看到:
Failed
to find proposal 1 in profile profile1.
(2) 匹配到的IKE
profile中没有引用协商过程中匹配到的IKE
keychain。
通过调试信息看到:
Failed to find keychain keychain1 in profile profile1.
我们应该
(1)
(2)
3、再次核对两侧的ike profile和proposal配置,还是未发现问题。总部对接多分支,配置复杂,存在错误嫌疑较大,此时我们在总部重点检查ike profile和proposal的配置。
display ike proposal
Priority Authentication Authentication Encryption Diffie-Hellman Duration
method algorithm algorithm group (seconds)
----------------------------------------------------------------------------
4 PRE-SHARED-KEY MD5 DES-CBC Group 1 86400
6 PRE-SHARED-KEY MD5 DES-CBC Group 1 86400
……
12 PRE-SHARED-KEY SHA1 DES-CBC Group 1 86400
default PRE-SHARED-KEY SHA1 DES-CBC Group 1 86400
我们发现总部存在多个内容一致的proposal,于是将分支侧的proposal改为调用内容一致,序号最小的proposal 4,再次发起协商,报错依旧。最后我们将总部与该分支建立ipsec的ike profile配置中undo proposal,让分支发起建立时总部全局协商proposal,此时两端对接成功。
将总部与该分支建立ipsec的ike profile配置中undo proposal,让分支发起建立时总部全局协商proposal后对接成功。从这个故障问题,我们发现如果总部存在多个内容一致的proposal,对接分支时即使调用了两侧一致且序号最小为4的proposal,还是会影响ike profile和proposal的协商。对于不常见报错PAYLOAD_MALFORMED我们可以记下笔记。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作