全部
经验案例
典型配置
技术公告
FAQ
漏洞说明

全部
是
否

全部
是
否

大数据引擎
知了引擎

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

高级搜索

知

【MVS】华为防火墙如何查看IPSEC IKE交互失败的信息？

VPN技术

5天前发表

0关注
0收藏 73浏览

粉丝：30人关注：2人

问题描述

【MVS】华为防火墙如何查看IPSEC IKE交互失败的信息？

解决方法

不同于其他厂商防火墙，华为防火墙可以使用下面的命令对IPSEC IKE交互过程的错误进行打印显示。

display ike error-info命令用来查看IKE协商IPSec隧道失败的信息。

命令格式

display ike error-info [ verbose ] [ peer remote-address ] [ slot slot-id cpu cpu-id ]

参数说明

参数	参数说明	取值
verbose	显示IKE协商IPSec隧道失败的详细信息。	－
peer remote-address	显示指定对端地址的IKE协商IPSec隧道失败的信息。	IPv4地址：点分十进制格式；IPv6地址：冒号十六进制格式。
slot slot-id cpu cpu-id	显示指定槽位号和CPU号的IKE协商IPSec隧道失败的信息。	slot-id和cpu-id均为整数形式，根据设备实际配置情况选取。

# 查看IKE协商IPSec隧道失败的详细信息。

表1 **display ike error-info**命令输出信息描述
项目	描述
current info Num	目前信息数目。
Ike error information	IKE协商IPSec隧道失败的信息。
current ike Error-info number	目前IKE协商IPSec隧道失败的信息数目。
peer或Peer	对端IP地址。
port或Port	对端UDP端口号。
error-reason或Reason	IKE协商IPSec隧道失败的常见原因，包括： phase1 proposal mismatch：两端IKE安全提议参数不匹配。 phase2 proposal or pfs mismatch：两端IPSec安全提议参数、PFS算法或Security ACL不匹配。 responder dh mismatch：响应方的DH算法不匹配。 initiator dh mismatch：发起方的DH算法不匹配。 encapsulation mode mismatch：封装模式不匹配。 flow or peer mismatch：两端Security ACL或IKE Peer地址不匹配。 version mismatch：两端IKE版本号不匹配。 peer address mismatch：两端的IKE Peer地址不匹配。 config ID mismatch：根据ID未找到匹配的IKE Peer。 exchange mode mismatch：两端的协商模式不匹配。 authentication fail：身份认证失败。 construct local ID fail：构造本端ID失败。 rekey no find old sa：重协商时找不到旧的SA。 rekey fail：重协商时旧的SA正在下线。 first packet limited：首包限速。 unsupported version：不支持的IKE版本号。 malformed message：畸形消息。 malformed payload：畸形载荷。 critical drop：未识别的critical载荷。 COOKIE mismatch：COOKIE不匹配。 invalid COOKIE：无效COOKIE。 invalid length：报文长度非法。 unknown exchange type：未知的协商模式。 uncritical drop：未识别的非critical载荷。 route limit：路由注入的数目达到规格。 ip assigned fail：IP地址分配失败。 eap authentication timeout：EAP认证超时。 eap authentication fail：EAP认证失败。 xauth authentication fail：XAUTH认证失败。 xauth authentication timeout：XAUTH认证超时。 license or specification limited：License限制。 local address mismatch：IKE协商时的本端IP地址和接口IP地址不匹配。 dynamic peers number reaches limitation：IKE对等体数达到规格。 ipsec tunnel number reaches limitation：IPSec隧道数达到规格。 netmask mismatch：开启IPSec掩码过滤功能后，掩码不匹配。 flow confict：数据流冲突。 proposal mismatch or use sm in ikev2：IPSec安全提议不匹配或者IKEv2使用SM算法。 ikev2 not support sm in ipsec proposal ikev2：IKEv2不支持IPSec安全提议的SM算法。 no policy applied on interface：没有策略应用到接口上。 nat detection fail：NAT探测失败。 fragment packet limit：分片报文超规格。 fragment packet reassemble timeout：分片报文重组超时。
version	IKE版本。
Error-time/error-time	IKE协商IPSec隧道失败的时间。
Detail	IKE协商IPSec隧道失败的详细信息。 phase1 proposal mismatch：两端IKE安全提议参数不匹配。 phase2 proposal or pfs mismatch：两端IPSec安全提议参数、PFS算法或Security ACL不匹配。 responder dh mismatch：响应方的DH算法不匹配。 initiator dh mismatch：发起方的DH算法不匹配。 encapsulation mode mismatch：封装模式不匹配。 flow or peer mismatch：两端Security ACL或IKE Peer地址不匹配。 version mismatch：两端IKE版本号不匹配。 peer address mismatch：两端的IKE Peer地址不匹配。 config ID mismatch：根据ID未找到匹配的IKE Peer。 exchange mode mismatch：两端的协商模式不匹配。 authentication fail：身份认证失败。 construct local ID fail：构造本端ID失败。 rekey no find old sa：重协商时找不到旧的SA。 rekey fail：重协商时旧的SA正在下线。 first packet limited：首包限速。 unsupported version：不支持的IKE版本号。 malformed message：畸形消息。 malformed payload：畸形载荷。 critical drop：未识别的critical载荷。 COOKIE mismatch：COOKIE不匹配。 invalid COOKIE：无效COOKIE。 invalid length：报文长度非法。 unknown exchange type：未知的协商模式。 uncritical drop：未识别的非critical载荷。 route limit：路由注入的数目达到规格。 ip assigned fail：IP地址分配失败。 eap authentication timeout：EAP认证超时。 eap authentication fail：EAP认证失败。 xauth authentication fail：XAUTH认证失败。 xauth authentication timeout：XAUTH认证超时。 license or specification limited：License限制。 local address mismatch：IKE协商时的本端IP地址和接口IP地址不匹配。 dynamic peers number reaches limitation：IKE对等体数达到规格。 ipsec tunnel number reaches limitation：IPSec隧道数达到规格。 netmask mismatch：开启IPSec掩码过滤功能后，掩码不匹配。 flow confict：数据流冲突。 proposal mismatch or use sm in ikev2：IPSec安全提议不匹配或者IKEv2使用SM算法。 ikev2 not support sm in ipsec proposal ikev2：IKEv2不支持IPSec安全提议的SM算法。 no policy applied on interface：没有策略应用到接口上。 nat detection fail：NAT探测失败。 fragment packet limit：分片报文超规格。 fragment packet reassemble timeout：分片报文重组超时。 receive phase1 proposal mismatch：收到的IKE安全提议参数不匹配。 receive phase2 proposal mismatch：收到的IPSec安全提议参数不匹配。 phase2 proposal mismatch：两端IPSec安全提议参数不匹配。 receive flow or peer mismatch：收到的Security ACL或IKE Peer地址不匹配。 (peer local or tunnel local or interface) address mismatch：对端的本端IP地址、隧道本端IP地址或接口IP地址不匹配。 remote auth method mismatch：对端认证方法不匹配。 proc cert fail or inband cert validate fail：处理证书或证书校验失败。 outband cert validate fail(rsa-signature)：RSA签名认证时证书校验失败。 hash value not equal(pre-share-key)：预共享密钥认证时Hash值不相等。 hash value not equal(digital-envelope)：数字签名认证时Hash值不相等。 verify sig data fail(rsa-signature)：签名校验失败。 proc auth payload fail(pre-share-key)：预共享密钥认证时处理认证载荷失败。 proc auth payload fail(rsa-signature)：RSA签名认证时处理认证载荷失败。 proc auth payload fail(eap)：IKEv2 EAP认证时处理认证载荷失败。 recv peer auth fail notification：收到对端认证失败通知消息。 recv peer auth fail notification(pre-share-key)：预共享密钥认证时收到对端认证失败通知消息。 recv peer auth fail notification(rsa-signature)：RSA签名认证时收到对端认证失败通知消息。 recv peer auth fail notification(digital-envelope)：数字签名认证时收到对端认证失败通知消息。 recv peer auth fail notification(eap)：IKEv2 EAP认证时收到对端认证失败通知消息。 proc and auth ID payload fail(pre-share-key)：预共享密钥认证时对端ID认证失败。 proc and auth ID payload fail(rsa-signature)：RSA签名认证时对端ID认证失败。 proc and auth ID payload fail(eap)：IKEv2 EAP认证时对端ID认证失败。 can not find key by cert：获取证书对应的密钥对失败。 the cert is not valid：证书无效。 cert revoked by CRL：证书被CRL吊销。 unable to get issuer cert：找不到颁发者。 ocsp valid fail：证书在线检验失败。 cert filter check mismatch：证书过滤校验不匹配。 no corresponding CRL：没有对应的CRL。 inband cert validate fail：证书验证失败。 cert PKI whitelist valid fail：PKI证书白名单校验失败。 receive proposal mismatch or use sm in ikev2：收到的IPSec安全提议不匹配或者IKEv2使用SM算法。

该案例对您是否有帮助：

您的评价：1

若您有关于案例的建议，请反馈：

作者在5天前对此案例进行了修订

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >

对根叔知了社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

×

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

×

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

×

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

×

举报说明

✖

案例意见反馈

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2024新华三集团保留一切权利当前呈现版本 NO.1

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖