总部设备为MSR 3600-28-XS,分支为MSG360-4,通过云简平台下发VPN配置,实现ADVPN隧道的建立。
下发配置之后VPN隧道无法正常建立,只建立了ipsec的第一阶段。
总部配置的时候应该是想使用ike profile A,但是设备上还配置一个 ike profile B,这个是match remote 0.0.0.0, 也就是所有分支过来, 中心侧都会匹配这个ike profile B。关键是这个ike profile B 下配置的算法和分支测又不一样。导致协商失败。
*Aug 9 19:23:10:251 2021 H3C-3600 IKE/7/ERROR: vrf = 0, local = 122.189.155.92, remote = 59.173.30.116/500
Failed to parse the IKE SA payload.
*Aug 9 19:23:10:251 2021 H3C-3600 IKE/7/PACKET: vrf = 0, local = 122.189.155.92, remote = 59.173.30.116/500
Construct notification packet: NO_PROPOSAL_CHOSEN.
删掉ike profile B的配置。
一般一个ike profile 下 配置 match remote 全零的地址, 一定要先明确是否有这样的组网需求,和这个profile 下算法配置,防止误伤其他分支上线。