而如果當(dāng)出現(xiàn)狀態(tài)為MM_SI1_WR1, MM_SA_SETUP��、MM_SI2_WR2, MM_VERIFY、MM_SI3_WR3, MM_VERIFY時(shí)候���,說(shuō)明ISAKMP SA無(wú)法協(xié)商成功�。
(二)組網(wǎng)拓?fù)?/strong>
(三)可能原因
1、連通性異常
2�、出接口未調(diào)用vpn加密圖
3�����、總部和分支policy策略配置不一致
4、預(yù)共享密鑰配置錯(cuò)誤
5���、FQDN配置錯(cuò)誤
6、運(yùn)營(yíng)商過(guò)濾
7��、總部為二級(jí)路由的情況下出口設(shè)備沒(méi)有配置映射
8��、多線路環(huán)境下選路錯(cuò)誤
(四)處理步驟
步驟1、對(duì)比分支和總部配置
確認(rèn)預(yù)共享秘鑰�、第一階協(xié)商參數(shù)�、第二階段協(xié)商參數(shù)��、感興趣流等是否一致
a�、配置IPsec 第一階段
步驟2����、確定VPN是否建立成功
a����、Web界面顯示藍(lán)色的情況或點(diǎn)擊顯示已接入
b����、命令行可以通過(guò)show crypto state查看VPN第一階段的情況
show crypto is sa 查看第一階段建立的情況��,IDLE狀態(tài)表示是建立正常的狀態(tài)
【補(bǔ)充】
一階段建立不成功狀態(tài)顯示
1���、分支的狀態(tài)機(jī)為MM_SI1_WR1, MM_SA_SETUP�,而總部沒(méi)有狀態(tài)機(jī)信息
第一個(gè)報(bào)文發(fā)出����,總部沒(méi)有收到
2、分支的狀態(tài)機(jī)為MM_SI1_WR1, MM_SA_SETUP�,而且打印Send ISAKMP negotiate message failed, errno:148, No route to host syslog
第一個(gè)報(bào)文發(fā)出�,但是路由選路失?���。z查下轉(zhuǎn)發(fā)路由)
3、分支和總部的狀態(tài)機(jī)都為:MM_SI1_WR1, MM_SA_SETUP
可以通過(guò)debug cry is查看,若提示no proposal chosen,協(xié)商參數(shù)不一致��;若是需要配置fqdn�����,需要使用野蠻模式對(duì)接
4���、分支和總部的狀態(tài)機(jī)都為:MM_SI2_WR2, MM_VERIFY
卡在三四報(bào)文交互�����,可以通過(guò)debug cry is信息查看日志,一般來(lái)說(shuō)是報(bào)文重傳�,或者使用證書(shū)協(xié)商�,證書(shū)安裝存在問(wèn)題
5��、分支和總部的狀態(tài)機(jī)都為:MM_SI3_WR3, MM_VERIFY
預(yù)共享密鑰不一致�,身份驗(yàn)證失敗��,nat環(huán)境出現(xiàn)丟包���,通過(guò)debug cry is查看協(xié)商的情況,以及設(shè)備外網(wǎng)口抓包可以進(jìn)一步查看下
步驟3�����、檢查總部和分支是否連通性異常
a���、總部和分部建立VPN首先要保證總分部的公網(wǎng)地址連通性正常,如下圖�����,假設(shè)下圖兩臺(tái)設(shè)備都為出口�����,接口上的配置的是公網(wǎng)地址總部出口IP
出口地址連通性測(cè)試,命令行上帶對(duì)應(yīng)接口地址為源ping對(duì)端公網(wǎng)地址���,如下圖
b、如果總分部聯(lián)通性不通,show crypto state是沒(méi)有打印信息的
步驟4�����、檢查VPN匹配對(duì)應(yīng)的出接口下是否調(diào)用VPN加密圖
a、命令行下調(diào)用加密圖的命令
總部如果沒(méi)有調(diào)用加密圖的情況下,總部show crypto state沒(méi)有打印信息�����,分部show crypto state卡在第一�����、二報(bào)文交互狀態(tài)
分部:
分部沒(méi)有調(diào)用加密圖的情況下����,總分部show crypto state都沒(méi)有打印信息總部:
分部:
步驟5�、檢查總部和分支policy策略配置不一致總分部之間isa策略參數(shù)需要一一對(duì)應(yīng)����,如果不一樣是建立不起來(lái)的��,具體如下圖
分部:
【補(bǔ)充】
第一階段協(xié)商參數(shù)對(duì)應(yīng)命令行為show crypto isa policy
b�、如果因?yàn)榈谝浑A段協(xié)商參數(shù)不一致����,導(dǎo)致show crypto state卡在第一、二報(bào)文交互狀態(tài)
主模式協(xié)商失敗�,show crypto state發(fā)現(xiàn)分支的狀態(tài)機(jī)為MM_SI1_WR1, MM_SA_SETUP�,而總部沒(méi)有狀態(tài)機(jī)信息
步驟6、檢查預(yù)共享密鑰配置是否錯(cuò)誤
預(yù)共享密鑰配置錯(cuò)誤導(dǎo)致IPsec第一階段協(xié)商五����、六個(gè)報(bào)文交互不成功���,在總分部上通過(guò)show crypto state看到的狀態(tài)分別為
分部:
總部:
【補(bǔ)充】
11.x的設(shè)備可以查看當(dāng)前配置的預(yù)共享密鑰是多少���,通過(guò)命令show crypto isa key decrypt
對(duì)應(yīng)的web界面配置頁(yè)面
步驟7��、檢查是否QDN配置錯(cuò)誤
分部顯示五六個(gè)報(bào)文交互狀態(tài)
總部顯示第一階段建立完成
總部配置:
分支FQDN對(duì)應(yīng)的命令行配置為:self-identity fqdn EG3000GE
分部配置:
總部FQDN配置為:
self-identity fqdn EG3000SE
crypto isakmp key 7 151b5f7246 hostname EG3000GE
crypto map gi0/7 1 ipsec-isakmp
set peer EG3000GE
分部上的對(duì)端ID需要和總部的本機(jī)ID一致
步驟8、檢查是否運(yùn)營(yíng)商過(guò)濾
可以通過(guò)show ip f f | in 500查看對(duì)應(yīng)的流表信息是否有到EG,如果沒(méi)有,并且設(shè)備上并沒(méi)有ip session filter的配置進(jìn)行過(guò)濾�����,可以懷疑運(yùn)營(yíng)商問(wèn)題.
步驟9��、總部為二級(jí)路由的情況下出口設(shè)備沒(méi)有配置映射
網(wǎng)絡(luò)拓?fù)錇槌隹诼酚上侣?lián)EG下聯(lián)內(nèi)網(wǎng)����,EG作為二級(jí)路由配置IPsec總部�����,需要在總部出口配置映射UDP4500和500
對(duì)應(yīng)web界面配置:
對(duì)應(yīng)命令行配置:
步驟10�、多線路環(huán)境下選路錯(cuò)誤
可以通過(guò)查看流表的出接口判斷是否是來(lái)回路徑不一致
解決方案:多線路的情況下有可能導(dǎo)致來(lái)回路徑不一致��,建議配置一條靜態(tài)路由���,目的地址指向?qū)Χ斯W(wǎng)地址走對(duì)應(yīng)的下一跳,保證來(lái)回路徑一致
具體配置如下:
查看IPSEC報(bào)文選路方法:
sh ip f m | in FLOW-AUDIT-K ---show出來(lái)后,查看第一列的數(shù)值
sh ip f pri 數(shù)值 | in 500
(五)信息收集
如果上述方法進(jìn)行配置檢查后依舊無(wú)法正常建立IPSec VPN,可以收集以下信息之后反饋 4008-111-000工程師���,協(xié)助您進(jìn)一步排查故障��。
show version
show int usage
sh tcp connect
sh ip udp
sh memory
sh cpu | ex 0.00
sh exec
show coredump file
show run
show log reverse
show ip interface brief
show ip route
show crypto state (收集3次,每次間隔5s)
show ip fpm flow | in 500 (收集3次,每次間隔5s)
show ip fpm pri 1 | in 500
show crypto log
debug su
execute diagnose-cmd fdisk
execute diagnose-cmd mount
IPSEC分支信息收集:
debug cry isa
debug cry ipsec
terminal monitor
收集5分鐘左右
Undebug all --收集完需要關(guān)閉debug信息
IPSEC總部信息收集:(推薦總部只有一路IPSEC可以開(kāi)啟收集�,超過(guò)一路以上謹(jǐn)慎開(kāi)啟debug,以免影響業(yè)務(wù))
debug cry isa
debug cry ipsec
terminal monitor
收集5分鐘左右
Undebug all --收集完需要關(guān)閉debug信息
(六)總結(jié)與建議
IKE SA建立失敗常見(jiàn)原因是IKE協(xié)商報(bào)文不可達(dá),和IKE SA兩端策略(加密算法、DH組、預(yù)共享秘鑰、身份認(rèn)證方法)不匹配
如遇該故障無(wú)法定位解決的可點(diǎn)擊:售后閃電兔 處理
發(fā)布時(shí)間:2024-06-13
點(diǎn)擊量:1262
文檔評(píng)價(jià)
