Print

MSG360-4 通过云简网络搭建ADVPN失败

2小时前 发表

组网及说明

​总部设备为MSR 3600-28-XS,分支为MSG360-4,通过云简平台下发VPN配置,实现ADVPN隧道的建立。

问题描述

下发配置之后VPN隧道无法正常建立,只建立了ipsec的第一阶段。

过程分析

总部配置的时候应该是想使用ike  profile A,但是设备上还配置一个 ike profile B,这个是match remote 0.0.0.0, 也就是所有分支过来, 中心侧都会匹配这个ike  profile B。关键是这个ike  profile  B 下配置的算法和分支测又不一样。导致协商失败。

*Aug  9 19:23:10:251 2021 H3C-3600 IKE/7/ERROR: vrf = 0, local = 122.189.155.92, remote = 59.173.30.116/500
Failed to parse the IKE SA payload.

*Aug  9 19:23:10:251 2021 H3C-3600 IKE/7/PACKET: vrf = 0, local = 122.189.155.92, remote = 59.173.30.116/500
Construct notification packet: NO_PROPOSAL_CHOSEN.

解决方法

删掉ike profile B的配置。

一般一个ike  profile 下 配置 match remote 全零的地址, 一定要先明确是否有这样的组网需求,和这个profile 下算法配置,防止误伤其他分支上线。