MSR路由器ipsec ike協商SA失敗
- 0關注
- 0收藏,891瀏覽
問題描述:
從思科轉為MSR5620,ipsec vpn協商sa在第二階段失敗,報錯如下;檢查了ACL匹配到流量的,對端設備無法知道是什麼設備也無法看到配置,隻確認將ipsec 目的地址更改過。這配置是否有問題呢?
%Jan 13 15:28:44:172 2025 sge IKE/6/IKE_P2_SA_ESTABLISH_FAIL: Failed to establish phase 2 SA in IKE_P2_STATE_GETSP state.
Reason: Failed to get IPsec policy as phase 2 responder.
SA information:
Role: responder
Local address: 117.131.55.162
Remote address: 183.195.117.253
Sour addr: / Port: 0 Protocol:
Dest addr: / Port: 0 Protocol:
Inside VPN instance:
Outside VPN instance:
Inbound AH SPI: 0
Outbound AH SPI: 0
Inbound ESP SPI: 0
Outbound ESP SPI: 0
Initiator COOKIE: a0654bcc9a86874f
Responder COOKIE: 4428d755ad7310c3
Message ID: 0xdae5fa1a
Connection ID: 3204
Tunnel ID: 1
%Jan 13 15:28:46:227 2025 sge IPSEC/6/IPSEC_SA_ESTABLISH_FAIL: Failed to establish IPsec SA.
Reason: The policy contains incorrect ACL or IKE profile configuration..
SA information:
Role: responder.
Local address: 117.131.55.162
Remote address: 183.195.117.253
Sour addr: 19.255.34.80/255.255.255.240 Port: 0 Protocol: IP
Dest addr: 19.194.208.0/255.255.254.0 Port: 0 Protocol: IP
Inside VPN instance:
Outside VPN instance:
Inbound AH SPI: 0
Outbound AH SPI: 0
組網及組網描述:
MSR配置
acl advanced name IPSec
rule 0 permit ip source 19.255.34.80 0.0.0.15 destination 19.194.208.0 0.0.1.255
#
pki domain sge
ca identifier sge
certificate request from ca
certificate request entity sge
public-key rsa general name sge
undo crl check enable
#
pki entity sge
common-name sge
#
pki certificate access-control-policy policy1
rule 1 permit group2
#
pki certificate attribute-group group2
attribute 1 subject-name dn ctn sge
#
ipsec logging packet enable
ipsec sa idle-time 7200
ipsec logging negotiation enable
ipsec logging ipsec-p2mp enable
#
ipsec transform-set tran1
esp encryption-algorithm 3des-cbc
esp authentication-algorithm sha1
pfs dh-group2
#
ipsec policy IPSec_CMCC 10 isakmp
transform-set tran1
security acl name IPSec
remote-address 183.195.117.253
ike-profile To_CMCC
sa duration time-based 7200
#
ike logging negotiation enable
#
ike profile To_CMCC
certificate domain sge
proposal 10
#
ike proposal 10
authentication-method rsa-signature
encryption-algorithm 3des-cbc
dh group2
authentication-algorithm md5
sa duration 7200
#
原思科設備配置
crypto isakmp policy 10
encr 3des
hash md5
group 2
lifetime 7200
!
crypto ipsec security-association lifetime seconds 7200
!
crypto ipsec transform-set set1 esp-3des esp-sha-hmac
mode tunnel
!
!
!
crypto map vpnmap 10 ipsec-isakmp
set peer 183.195.117.253
set transform-set set1
match address 100
- 2025-01-13提問
- 舉報
-
(0)
根據您提供的錯誤信息以及問題描述,MSR5620在IPsec VPN的第二階段協商失敗的常見原因和排查建議如下:
問題分析
從錯誤日誌中可以看出:
-
第一階段協商成功:
- 錯誤信息顯示“Failed to establish phase 2 SA”,說明IKE第一階段(Phase 1)已經成功建立,雙方完成了身份驗證。
-
第二階段失敗原因:
- 錯誤信息提示:
Reason: Failed to get IPsec policy as phase 2 responder.以及:Reason: The policy contains incorrect ACL or IKE profile configuration.表明問題可能集中在以下幾點:- IPsec策略(ACL或流量選擇器)配置不匹配。
- IKE profile配置不匹配(例如加密算法、PFS等)。
- 目的地址變更可能導致對端流量匹配問題。
- 錯誤信息提示:
-
流量選擇器(Traffic Selector)不匹配:
- 第二階段協商的核心是雙方對IPsec流量選擇器(通常由ACL定義的源地址和目的地址範圍)進行匹配。
- 日誌中:
Sour addr: 19.255.34.80/255.255.255.240 Dest addr: 19.194.208.0/255.255.254.0如果本地配置的流量選擇器與對端配置不一致,協商會失敗。
排查步驟與建議
1. 檢查IPsec策略中的ACL
- 確保定義的ACL流量範圍與對端設備一致。
- 檢查流量選擇器的源地址和目的地址是否正確。
- 示例:
acl number 3001 rule 10 permit ip source 19.255.34.80 0.0.0.15 destination 19.194.208.0 0.0.1.255 - 如果對端設備的IPsec目的地址發生變更,確認是否更新了相關ACL。
2. 驗證IPsec配置
- 確保IPsec配置中的
transform-set與對端一致,包括加密算法、認證算法和PFS等。 - 示例:
ipsec proposal 1 esp authentication-algorithm sha1 esp encryption-algorithm aes-256 pfs dh-group2
3. 檢查IKE配置
- 驗證IKE的加密算法、認證方式、Diffie-Hellman組是否與對端一致。
- 示例:
ike proposal 1 encryption-algorithm aes-256 authentication-algorithm sha1 dh-group2 prf sha1
4. 確認對端IPsec目的地址變更後的影響
- 確保新目的地址與VPN策略中的遠程地址匹配。
- 如果對端IP地址發生變更,需更新
ipsec policy或ike peer配置中的遠端地址。 - 示例:
ike peer peer1 remote-address 183.195.117.253
5. 驗證對端設備是否啟用了NAT
- 如果對端設備啟用了NAT,可能需要啟用NAT-T(NAT Traversal)。
- 示例:
ipsec policy 1 10 isakmp transform-set 1 nat-traversal enable
6. 啟用調試日誌
- 啟用相關調試命令捕獲更多細節:
debugging ike common debugging ipsec error debugging ipsec packet檢查是否有關於流量選擇器或加密配置的具體錯誤。
7. 雙方協商重試
- 確保對端設備也更新了配置,重新發起協商。
- 在MSR5620上手動清除現有SA:
reset ike sa reset ipsec sa
其他建議
-
驗證基礎連接:
- 確保MSR5620和對端設備之間的基礎網絡連接(Ping對端公網地址)是暢通的。
-
使用診斷命令:
- 查看當前IPsec策略和SA狀態:
display ipsec policy display ipsec sa - 檢查IKE的會話狀態:
display ike sa
- 查看當前IPsec策略和SA狀態:
-
聯係對端管理員:
- 如果對端配置無法查看,建議聯係對端管理員確認其配置是否匹配,包括流量選擇器、IPsec算法和Ike profile。
總結
您的配置可能存在以下問題:
- ACL流量範圍不匹配。
- IPsec或IKE的加密算法配置與對端不一致。
- 對端目的地址變更後未同步更新本地策略。
按照上述排查步驟,調整配置並啟用調試日誌進一步定位問題。如果需要更詳細的幫助,可以提供當前設備的IPsec和IKE配置內容。
- 2025-01-13回答
- 評論(0)
- 舉報
-
(0)
暫無評論
已解決,在ipsec policy中增加配置local-address,ike profile中增加match remote certificate關聯證書,不太清楚為什麼,因為這兩條都不是必選配置;
- 2025-01-14回答
- 評論(0)
- 舉報
-
(0)
暫無評論
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論