最近使用Cisco路由器设置了vpn来连接Check Point防火墙。这个任务看似很简单,但是“ IPSec策略使提议无效并出现错误32”使我经历了下面显示的所有故障排除步骤。

解决IPSec 虚拟专用网问题的其他示例:

拓扑非常简单:

远程站点正在使用Check Point防火墙对VPN网关进行操作,并且它已用于各种VPN连接。

这是我原始的VPN配置。

接口GigabitEthernet0 / 0
 IP地址19.24.11.142 255.255.255.0
 duplex auto
 speed auto
 crypto map vpn



crypto isakmp策略1
 encr 3des
 验证预共享
 group 2
 lifetime 3600
加密isakmp密钥cisco123地址19.9.17.1
crypto isakmp主动模式禁用
!
!
加密ipsec转换集VPN设置ah-sha-hmac esp-3des
!
加密地图VPN 10 ipsec-isakmp
 description 虚拟专用网 虚拟专用网
 设置对等体198.96.178.1
 设置转换集VPN集
 set pfs group2
 匹配地址VPN-VPN

 ip访问列表扩展VPN-VPN
 允许ip主机19.24.11.53主机19.9.17.41
 允许ip主机19.24.11.245主机19.9.17.41

Check Point防火墙位于远程位置,我没有管理。从收集的信息中,检查点的配置如下所示:

  • 中心网关:代表Check Point强制点的对象
  • 卫星网关:代表思科路由器的对象– 思科公司VPN
  • 加密:
    • 加密方法:仅IKEv1
    • 加密套件:具有以下属性的自定义
    • IKE(第一阶段)属性
    • 通过以下方式执行密钥交换加密:3Des
    • 通过以下方式执行数据完整性:SHA-1
    • IPSec(第2阶段)属性
    • 使用以下命令执行IPSec数据加密:3Des
    • 通过以下方式执行数据完整性:SHA-1
  • 隧道管理:VPN隧道共享:每个子网对一个VPN隧道
  • 高级设置
    • 虚拟专用网路由:仅中心
    • 共享密钥:仅对所有外部成员使用共享密钥,然后将共享密钥添加到CiscoVPN
    • 高级VPN属性:IKE(第1阶段):使用Diffie-Helman组:第2组

看起来很讲究,应该没有任何惊奇。

不幸的是,隧道没有按预期上升。我收到以下调试消息:



000421:Apr 26 21:40:20.568 EDT:ISAKMP(0):从19.9.17.1 dport 500 sport 500 Global 500(N)NEW SA接收到数据包
000422:Apr 26 21:40:20.568 EDT:ISAKMP:为19.9.17.1创建了一个对等结构,对等端口500
000423:4月26日21:40:20.568 EDT:ISAKMP:新对等体创建对等体= 0x2B149B28 peer_handle = 0x8000000D
000424:4月26日21:40:20.568 EDT:ISAKMP:锁定对等结构0x2B149B28,refcount 1 for crypto_isakmp_process_block
000425:4月26日21:40:20.568 EDT:ISAKMP:本地端口500,远程端口500
000426:4月26日21:40:20.568 EDT:ISAKMP:(0):成功插入sa = 2A25BEAC
000427:4月26日21:40:20.568 EDT:ISAKMP:(0):输入= IKE_MESG_FROM_PEER,IKE_MM_EXCH
000428:Apr 26 21:40:20.568 EDT:ISAKMP:(0):旧状态= IKE_READY  New State = IKE_R_MM1

000429:Apr 26 21:40:20.568 EDT:ISAKMP:(0):处理SA有效负载。消息ID = 0
000430:4月26日21:40:20.568 EDT:ISAKMP:(0):处理供应商ID有效负载
000431:4月26日21:40:20.568 EDT:ISAKMP:(0):供应商ID似乎是Unity / DPD,但是严重175不匹配
000432:4月26日21:40:20.568 EDT:ISAKMP:(0):处理供应商ID有效负载
000433:4月26日21:40:20.568 EDT:ISAKMP:(0):供应商ID似乎是Unity / DPD,但严重194不匹配
000434:4月26日21:40:20.568 EDT:ISAKMP:(0):找到对等预共享密钥匹配19.9.17.1
000435:4月26日21:40:20.568 EDT:ISAKMP:(0):找到本地预共享密钥
000436:4月26日21:40:20.568 EDT:ISAKMP:扫描配置文件中的xauth…
000437:Apr 26 21:40:20.568 EDT:ISAKMP:(0):对照优先级1策略检查ISAKMP转换1
000438:Apr 26 21:40:20.568 EDT:ISAKMP:      encryption 3DES-CBC
000439:Apr 26 21:40:20.568 EDT:ISAKMP:      hash SHA
000440:4月26日21:40:20.568 EDT:ISAKMP:      auth pre-share
000441:Apr 26 21:40:20.568 EDT:ISAKMP:      default 2组
000442:4月26日21:40:20.568 EDT:ISAKMP:     生活类型(以秒为单位)
000443:Apr 26 21:40:20.568 EDT:ISAKMP:     的寿命(VPI)为  0x0 0x0 0xE 0x10
000444:Apr 26 21:40:20.568 EDT:ISAKMP:(0):atts是可以接受的。下一个有效载荷为0
000445:4月26日21:40:20.568 EDT:ISAKMP:(0):可接受的atts:实际寿命:0
000446:Apr 26 21:40:20.568 EDT:ISAKMP:(0):可接受的atts:life:0
000447:Apr 26 21:40:20.568 EDT:ISAKMP:(0):以sa vpi_length:4填充
000448:4月26日21:40:20.568 EDT:ISAKMP:(0):以秒为单位填充寿命:3600
000449:4月26日21:40:20.568 EDT:ISAKMP:(0):返回实际寿命:3600
000450:4月26日21:40:20.568 EDT:ISAKMP:(0)::启动寿命计时器:3600。

000451:4月26日21:40:20.588 EDT:ISAKMP:(0):处理供应商ID有效负载
000452:4月26日21:40:20.588 EDT:ISAKMP:(0):供应商ID似乎是Unity / DPD,但是严重175不匹配
000453:4月26日21:40:20.588 EDT:ISAKMP:(0):处理供应商ID有效负载
000454:4月26日21:40:20.588 EDT:ISAKMP:(0):供应商ID似乎是Unity / DPD,但严重194不匹配
000455:Apr 26 21:40:20.588 EDT:ISAKMP:(0):输入= IKE_MESG_INTERNAL,IKE_PROCESS_MAIN_MODE
000456:4月26日21:40:20.588 EDT:ISAKMP:(0):旧状态= IKE_R_MM1  New State = IKE_R_MM1

000457:4月26日21:40:20.588 EDT:ISAKMP:(0):将数据包发送到19.9.17.1 my_port 500 peer_port 500(R)MM_SA_SETUP
000458:4月26日21:40:20.588 EDT:ISAKMP:(0):发送IKE IPv4数据包。
000459:4月26日21:40:20.588 EDT:ISAKMP:(0):输入= IKE_MESG_INTERNAL,IKE_PROCESS_COMPLETE
000460:4月26日21:40:20.588 EDT:ISAKMP:(0):旧状态= IKE_R_MM1  New State = IKE_R_MM2

000461:4月26日21:40:20.616 EDT:ISAKMP(0):从19.9.17.1 dport 500 sport 500 Global(R)MM_SA_SETUP接收到数据包
000462:4月26日21:40:20.616 EDT:ISAKMP:(0):输入= IKE_MESG_FROM_PEER,IKE_MM_EXCH
000463:4月26日21:40:20.616 EDT:ISAKMP:(0):旧状态= IKE_R_MM2  New State = IKE_R_MM3

000464:4月26日21:40:20.620 EDT:ISAKMP:(0):处理KE有效载荷。消息ID = 0
000465:Apr 26 21:40:20.644 EDT:ISAKMP:(0):处理NONCE有效载荷。消息ID = 0
000466:4月26日21:40:20.644 EDT:ISAKMP:(0):找到对等的预共享密钥匹配19.9.17.1
000467:4月26日21:40:20.644 EDT:ISAKMP:(1006):输入= IKE_MESG_INTERNAL,IKE_PROCESS_MAIN_MODE
000468:Apr 26 21:40:20.644 EDT:ISAKMP:(1006):旧状态= IKE_R_MM3  New State = IKE_R_MM3

000469:4月26日21:40:20.644 EDT:ISAKMP:(1006):将数据包发送到19.9.17.1 my_port 500 peer_port 500(R)MM_KEY_EXCH
000470:4月26日21:40:20.644 EDT:ISAKMP:(1006):发送IKE IPv4数据包。
000471:Apr 26 21:40:20.648 EDT:ISAKMP:(1006):输入= IKE_MESG_INTERNAL,IKE_PROCESS_COMPLETE
000472:Apr 26 21:40:20.648 EDT:ISAKMP:(1006):旧状态= IKE_R_MM3  New State = IKE_R_MM4

000473:Apr 26 21:40:20.676 EDT:ISAKMP(1006):从19.9.17.1 dport 500 sport 500 Global(R)MM_KEY_EXCH接收到数据包
000474:4月26日21:40:20.676 EDT:ISAKMP:(1006):输入= IKE_MESG_FROM_PEER,IKE_MM_EXCH
000475:4月26日21:40:20.676 EDT:ISAKMP:(1006):旧状态= IKE_R_MM4  New State = IKE_R_MM5

000476:Apr 26 21:40:20.680 EDT:ISAKMP:(1006):处理ID有效负载。消息ID = 0
000477:Apr 26 21:40:20.680 EDT:ISAKMP(1006):ID有效载荷
        next-payload : 8
        type         : 1
        address      : 19.9.17.1
        protocol     : 0
        port         : 0
        length       : 12
000478:4月26日21:40:20.680 EDT:ISAKMP:(0)::对等项匹配*无*配置文件
000479:4月26日21:40:20.680 EDT:ISAKMP:(1006):处理HASH有效负载。消息ID = 0
000480:4月26日21:40:20.680 EDT:ISAKMP:(1006):SA身份验证状态:
        authenticated
000481:4月26日21:40:20.680 EDT:ISAKMP:(1006):SA已通过19.9.17.1进行身份验证
000482:Apr 26 21:40:20.680 EDT:ISAKMP:尝试插入对等19.24.11.142/19.9.17.1/500/, 并成功插入2B149B28。
000483:4月26日21:40:20.680 EDT:ISAKMP:(1006):输入= IKE_MESG_INTERNAL,IKE_PROCESS_MAIN_MODE
000484:4月26日21:40:20.680 EDT:ISAKMP:(1006):旧状态= IKE_R_MM5  New State = IKE_R_MM5

000485:4月26日21:40:20.680 EDT:ISAKMP:(1006):SA正在使用ID类型ID_IPV4_ADDR执行预共享密钥身份验证
000486:Apr 26 21:40:20.680 EDT:ISAKMP(1006):ID有效载荷
        next-payload : 8
        type         : 1
        address      : 19.24.11.142
        protocol     : 17
        port         : 500
        length       : 12
000487:4月26日21:40:20.680 EDT:ISAKMP:(1006):总有效载荷长度:12
000488:4月26日21:40:20.680 EDT:ISAKMP:(1006):将数据包发送到19.9.17.1 my_port 500 peer_port 500(R)MM_KEY_EXCH
000489:4月26日21:40:20.680 EDT:ISAKMP:(1006):发送IKE IPv4数据包。
000490:4月26日21:40:20.680 EDT:ISAKMP:(1006):输入= IKE_MESG_INTERNAL,IKE_PROCESS_COMPLETE
000491:Apr 26 21:40:20.680 EDT:ISAKMP:(1006):旧状态= IKE_R_MM5 新状态= IKE_P1_COMPLETE

000492:4月26日21:40:20.680 EDT:ISAKMP:(1006):输入= IKE_MESG_INTERNAL,IKE_PHASE1_COMPLETE
000493:4月26日21:40:20.680 EDT:ISAKMP:(1006):旧状态= IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE

000494:Apr 26 21:40:20.708 EDT:ISAKMP(1006):从19.9.17.1 dport 500 sport 500 Global(R)QM_IDLE接收到数据包     
000495:4月26日21:40:20.708 EDT:ISAKMP:将新节点565784744设置为QM_IDLE     
000496:Apr 26 21:40:20.708 EDT:ISAKMP:(1006):正在处理HASH有效负载。讯息编号= 565784744
000497:Apr 26 21:40:20.708 EDT:ISAKMP:(1006):处理SA有效负载。讯息编号= 565784744
000498:4月26日21:40:20.708 EDT:ISAKMP:(1006):检查IPSec提议1
000499:Apr 26 21:40:20.708 EDT:ISAKMP:变换1,ESP_3DES
000500:Apr 26 21:40:20.708 EDT:ISAKMP:  转换中的属性:
000501:Apr 26 21:40:20.708 EDT:ISAKMP:      group is 2
000502:Apr 26 21:40:20.708 EDT:ISAKMP:     SA生活类型(以秒为单位)
000503:Apr 26 21:40:20.708 EDT:ISAKMP:     SA的持续时间(VPI)为  0x0 0x0 0xE 0x10
000504:Apr 26 21:40:20.708 EDT:ISAKMP:     验证者是HMAC-SHA
000505:Apr 26 21:40:20.708 EDT:ISAKMP:     encaps是1(隧道)
000506:Apr 26 21:40:20.708 EDT:ISAKMP:(1006):atts是可以接受的。
000507:4月26日21:40:20.708 EDT:ISAKMP:(1006): IPSec策略使提案无效,出现错误32
000508:4月26日21:40:20.708 EDT:ISAKMP:(1006): 第2阶段的安全策略不可接受! (本地19.24.11.142远程19.9.17.1)
000509:Apr 26 21:40:20.708 EDT:ISAKMP:将新节点-1495049782设置为QM_IDLE     
000510:4月26日21:40:20.708 EDT:ISAKMP:(1006):发送NOTIFY PROPOSAL_NOT_CHOSEN协议3
       spi 820964128,消息ID = 2799917514
000511:4月26日21:40:20.708 EDT:ISAKMP:(1006):将数据包发送到19.9.17.1 my_port 500 peer_port 500(R)QM_IDLE     
000512:Apr 26 21:40:20.708 EDT:ISAKMP:(1006):发送IKE IPv4数据包。
000513:4月26日21:40:20.708 EDT:ISAKMP:(1006):清除节点-1495049782
000514:Apr 26 21:40:20.708 EDT:ISAKMP:(1006):删除节点565784744错误TRUE原因“ QM被拒绝”
000515:Apr 26 21:40:20.708 EDT:ISAKMP:(1006):节点565784744,输入= IKE_MESG_FROM_PEER,IKE_QM_EXCH
000516:4月26日21:40:20.708 EDT:ISAKMP:(1006):旧状态= IKE_QM_READY 新状态= IKE_QM_READY

R-IPSEC1#显示crypto isakmp sa
IPv4加密ISAKMP SA
dst             src             state          conn-id status
19.24.11.142 19.9.17.1    QM_IDLE           1006 活性
 

有“ IPSec策略无效建议,错误32”。我没有足够的细节可以得出原因。 L2L 虚拟专用网 TroubleShooting :”IPSec策略使提案无效,出现错误32″ 情况不适用于我。

经过深思熟虑,我认为这可能与两端误镜像的访问列表有关,因为那是Check Point和Cisco之间常见的问题。远程站点VPN可以使用更广泛的VPN加密域,例如/ 24网络。但是我改用/ 32。因此,我将访问列表更改为以下内容:

R-IPSEC1(config-ext-nacl)#do sh访问列表VPN-VPN
扩展IP访问列表VPN-VPN
   50个许可ip主机19.24.11.245 19.9.17.0 0.0.0.255
   60许可ip主机19.24.11.53 19.9.17.0 0.0.0.255

得到了更好的结果,但消息仍然相似。

001319:4月26日22:26:41.310 EDT:ISAKMP:(1010):输入= IKE_MESG_INTERNAL,IKE_PHASE1_COMPLETE
001320:4月26日22:26:41.310 EDT:ISAKMP:(1010):旧状态= IKE_P1_COMPLETE 新状态= IKE_P1_COMPLETE

001321:Apr 26 22:26:41.362 EDT:ISAKMP(1010):从19.9.17.1 dport 500 sport 500 Global(R)QM_IDLE接收到数据包     
001322:4月26日22:26:41.362 EDT:ISAKMP:将新节点1351243089设置为QM_IDLE     
001323:Apr 26 22:26:41.362 EDT:ISAKMP:(1010):处理HASH有效负载。讯息编号= 1351243089
001324:4月26日22:26:41.362 EDT:ISAKMP:(1010):处理SA有效负载。讯息编号= 1351243089
001325:Apr 26 22:26:41.362 EDT:ISAKMP:((1010):检查IPSec提议1
001326:Apr 26 22:26:41.362 EDT:ISAKMP:转换1,ESP_3DES
001327:Apr 26 22:26:41.362 EDT:ISAKMP:  转换中的属性:
001328:Apr 26 22:26:41.362 EDT:ISAKMP:      group is 2
001329:Apr 26 22:26:41.362 EDT:ISAKMP:     SA生活类型(以秒为单位)
001330:Apr 26 22:26:41.362 EDT:ISAKMP:     SA的持续时间(VPI)为  0x0 0x0 0xE 0x10
001331:Apr 26 22:26:41.362 EDT:ISAKMP:     验证者是HMAC-SHA
001332:Apr 26 22:26:41.362 EDT:ISAKMP:     encaps是1(隧道)
001333:Apr 26 22:26:41.362 EDT:ISAKMP:(1010):atts是可以接受的。
001334:Apr 26 22:26:41.366 EDT:IPSEC(validate_proposal_request):提案第1部分
001335:Apr 26 22:26:41.366 EDT:IPSEC(validate_proposal_request):提案第1部分,
 (键eng.msg。)INBOUND local = 19.24.11.142:0,remote = 19.9.17.1:0,
   local_proxy = 19.24.11.245/255.255.255.255/0/0(type = 1),
   remote_proxy = 198.96.176.41/255.255.255.255/0/0(type = 1),
   协议= ESP,转换= NONE  (Tunnel),
   lifedur = 0s和0kb,
   spi = 0x0(0),conn_id = 0,keysize = 0,标志= 0x0
001336:Apr 26 22:26:41.366 EDT:IPSEC(ipsec_process_proposal): 不支持代理身份
001337:4月26日22:26:41.366 EDT:ISAKMP:(1010): IPSec策略使提案无效,出现错误32
001338:Apr 26 22:26:41.366 EDT:ISAKMP:(1010): 第2阶段的安全策略不可接受! (本地19.24.11.142远程19.9.17.1)
001339:4月26日22:26:41.366 EDT:ISAKMP:将新节点1666670311设置为QM_IDLE     
001340:Apr 26 22:26:41.366 EDT:ISAKMP:(1010):发送NOTIFY PROPOSAL_NOT_CHOSEN协议3
       spi 820964128,消息ID = 1666670311
001341:4月26日22:26:41.366 EDT:ISAKMP:(1010):将数据包发送到19.9.17.1 my_port 500 peer_port 500(R)QM_IDLE     
001342:4月26日22:26:41.366 EDT:ISAKMP:(1010):发送IKE IPv4数据包。

001343:Apr 26 22:26:41.366 EDT:ISAKMP:(1010):清除节点1666670311
001344:Apr 26 22:26:41.366 EDT:ISAKMP:(1010):正在删除节点1351243089错误TRUE原因“ QM被拒绝”
001345:4月26日22:26:41.366 EDT:ISAKMP:(1010):节点1351243089,输入= IKE_MESG_FROM_PEER,IKE_QM_EXCH
001346:4月26日22:26:41.366 EDT:ISAKMP:(1010):旧状态= IKE_QM_READY 新状态= IKE_QM_READY

经过深思熟虑,并与远程防火墙管理员进行了讨论,由于他的加密域包括特定的ip和整个网络,因此我再次更改了访问列表,使所有列表都具有了。

R-IPSEC1(config-ext-nacl)#确实显示访问列表VPN-VPN
扩展IP访问列表VPN-VPN
   110许可ip主机19.24.11.53主机19.9.17.41
   120许可ip主机19.24.11.245主机19.9.17.41
   130许可ip主机19.24.11.53 19.9.17.0 0.0.0.255
   140许可ip主机19.24.11.245 19.9.17.0 0.0.0.255

这次调试结果显示了更多详细信息:

001565:4月26日22:40:20.200 EDT:ISAKMP:(1012):SA正在使用ID类型ID_IPV4_ADDR执行预共享密钥身份验证
001566:4月26日22:40:20.200 EDT:ISAKMP(1012):ID有效载荷
        next-payload : 8
        type         : 1
        address      : 19.24.11.142
        protocol     : 17
        port         : 500
        length       : 12
001567:4月26日22:40:20.200 EDT:ISAKMP:(1012):总有效载荷长度:12
001568:4月26日22:40:20.200 EDT:ISAKMP:(1012):将数据包发送到19.9.17.1 my_port 500 peer_port 500(R)MM_KEY_EXCH
001569:4月26日22:40:20.200 EDT:ISAKMP:(1012):发送IKE IPv4数据包。
001570:4月26日22:40:20.200 EDT:ISAKMP:(1012):输入= IKE_MESG_INTERNAL,IKE_PROCESS_COMPLETE
001571:4月26日22:40:20.200 EDT:ISAKMP:(1012):旧状态= IKE_R_MM5 新状态= IKE_P1_COMPLETE

001572:4月26日22:40:20.200 EDT:ISAKMP:(1012):输入= IKE_MESG_INTERNAL,IKE_PHASE1_COMPLETE
001573:4月26日22:40:20.200 EDT:ISAKMP:(1012):旧状态= IKE_P1_COMPLETE 新状态= IKE_P1_COMPLETE

001574:4月26日22:40:20.264 EDT:ISAKMP(1012):从19.9.17.1 dport 500 sport 500 Global(R)QM_IDLE接收到数据包     
001575:Apr 26 22:40:20.264 EDT:ISAKMP:将新节点-1828063596设置为QM_IDLE     
001576:Apr 26 22:40:20.264 EDT:ISAKMP:(1012):正在处理HASH有效负载。讯息编号= 2466903700
001577:Apr 26 22:40:20.264 EDT:ISAKMP:(1012):处理SA有效负载。讯息编号= 2466903700
001578:4月26日22:40:20.264 EDT:ISAKMP:(1012):检查IPSec提议1
001579:4月26日22:40:20.264 EDT:ISAKMP:变换1,ESP_3DES
001580:Apr 26 22:40:20.264 EDT:ISAKMP:  转换中的属性:
001581:Apr 26 22:40:20.264 EDT:ISAKMP:      group is 2
001582:Apr 26 22:40:20.264 EDT:ISAKMP:     SA生活类型(以秒为单位)
001583:Apr 26 22:40:20.264 EDT:ISAKMP:     SA的持续时间(VPI)为  0x0 0x0 0xE 0x10
001584:Apr 26 22:40:20.264 EDT:ISAKMP:     验证者是HMAC-SHA
001585:Apr 26 22:40:20.264 EDT:ISAKMP:     encaps是1(隧道)
001586:Apr 26 22:40:20.264 EDT:ISAKMP:(1012):atts是可以接受的。
001587:4月26日22:40:20.264 EDT:IPSEC(validate_proposal_request):提案第1部分
001588:Apr 26 22:40:20.264 EDT:IPSEC(validate_proposal_request):提案第1部分,
 (键eng.msg。)INBOUND local = 19.24.11.142:0,remote = 19.9.17.1:0,
   local_proxy = 19.24.11.245/255.255.255.255/0/0(type = 1),
   remote_proxy = 19.9.17.41/255.255.255.255/0/0(type = 1),
   协议= ESP,转换= NONE  (Tunnel),
   lifedur = 0s和0kb,
   spi = 0x0(0),conn_id = 0,keysize = 0,标志= 0x0
001589:Apr 26 22:40:20.264 EDT:加密mapdb:proxy_match
        src addr     : 19.24.11.245
        dst addr     : 19.9.17.41
        protocol     : 0
        src port     : 0
        dst port     : 0
001590:4月26日22:40:20.264 EDT: IPSEC(ipsec_process_proposal):身份不支持转换提议:
   {esp-3des esp-sha-hmac}

001591:Apr 26 22:40:20.264 EDT:ISAKMP:(1012): IPSec策略使提案无效,错误为256
001592:Apr 26 22:40:20.264 EDT:ISAKMP:(1012): 第2阶段的安全策略不可接受! (本地19.24.11.142远程19.9.17.1)
001593:Apr 26 22:40:20.264 EDT:ISAKMP:将新节点-760845603设置为QM_IDLE     
001594:4月26日22:40:20.264 EDT:ISAKMP:(1012):发送NOTIFY PROPOSAL_NOT_CHOSEN协议3
       spi 820964128,消息ID = 3534121693
001595:Apr 26 22:40:20.264 EDT:ISAKMP:(1012):将数据包发送到19.9.17.1 my_port 500 peer_port 500(R)QM_IDLE     
001596:4月26日22:40:20.264 EDT:ISAKMP:(1012):发送IKE IPv4数据包。
001597:Apr 26 22:40:20.264 EDT:ISAKMP:(1012):清除节点-760845603
001598:Apr 26 22:40:20.264 EDT:ISAKMP:(1012):正在删除节点-1828063596错误TRUE原因“ QM被拒绝”
001599:4月26日22:40:20.264 EDT:ISAKMP:(1012):节点2466903700,输入= IKE_MESG_FROM_PEER,IKE_QM_EXCH
R-IPSEC1#debu
001600:4月26日22:40:20.264 EDT:ISAKMP:(1012):旧状态= IKE_QM_READY 新状态= IKE_QM_READY
R-IPSEC1#   
001601:Apr 26 22:41:10.264 EDT:ISAKMP:(1012):清除节点-1828063596

“ IPSEC(ipsec_process_proposal):身份不支持转换提议:
   {esp-3des esp-sha-hmac}” 显示我使用了错误的转换集。我正在使用ah-sha-hmac.

迅速更改为esp-sha-hmac:

加密ipsec转换集VPN设置esp-3des esp-sha-hmac 

这次,最终vpn隧道在第1阶段和第2阶段完全启动。从“ show crypto ipsec sa”的输出,进行测试时,加密和解密的数量正在增加。


测试 
001701:4月26日22:46:39.512 EDT:ISAKMP:(1013):输入= IKE_MESG_INTERNAL,IKE_PHASE1_COMPLETE
001702:4月26日22:46:39.512 EDT:ISAKMP:(1013):旧状态= IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE

001703:Apr 26 22:46:39.560 EDT:ISAKMP(1013):从19.9.17.1 dport 500 sport 500 Global(R)QM_IDLE接收到数据包     
001704:Apr 26 22:46:39.560 EDT:ISAKMP:将新节点-963038103设置为QM_IDLE     
001705:Apr 26 22:46:39.560 EDT:ISAKMP:(1013):正在处理HASH有效负载。讯息编号= 3331929193
001706:Apr 26 22:46:39.560 EDT:ISAKMP:(1013):处理SA有效负载。讯息编号= 3331929193
001707:Apr 26 22:46:39.560 EDT:ISAKMP:((1013):检查IPSec提议1
001708:Apr 26 22:46:39.560 EDT:ISAKMP:变换1,ESP_3DES
001709:Apr 26 22:46:39.560 EDT:ISAKMP:  转换中的属性:
001710:Apr 26 22:46:39.560 EDT:ISAKMP:      group is 2
001711:Apr 26 22:46:39.560 EDT:ISAKMP:     SA生活类型(以秒为单位)
001712:Apr 26 22:46:39.560 EDT:ISAKMP:     SA的持续时间(VPI)为  0x0 0x0 0xE 0x10
001713:Apr 26 22:46:39.560 EDT:ISAKMP:     验证者是HMAC-SHA
001714:Apr 26 22:46:39.560 EDT:ISAKMP:     encaps是1(隧道)
001715:Apr 26 22:46:39.560 EDT:ISAKMP:(1013):atts是可以接受的。
001716:Apr 26 22:46:39.560 EDT:IPSEC(validate_proposal_request):提案第1部分
001717:Apr 26 22:46:39.560 EDT:IPSEC(validate_proposal_request):提案第1部分,
 (键eng.msg。)INBOUND local = 19.24.11.142:0,remote = 19.9.17.1:0,
   local_proxy = 19.24.11.245/255.255.255.255/0/0(type = 1),
   remote_proxy = 198.96.176.41/255.255.255.255/0/0(type = 1),
   协议= ESP,转换= NONE  (Tunnel),
   lifedur = 0s和0kb,
   spi = 0x0(0),conn_id = 0,keysize = 0,标志= 0x0
001718:4月26日22:46:39.560 EDT:加密mapdb:proxy_match
        src addr     : 19.24.11.245
        dst addr     : 198.96.176.41
        protocol     : 0
        src port     : 0
        dst port     : 0
001719:Apr 26 22:46:39.580 EDT:ISAKMP:(1013):处理NONCE有效载荷。讯息编号= 3331929193
001720:4月26日22:46:39.580 EDT:ISAKMP:(1013):处理KE有效负载。讯息编号= 3331929193
001721:4月26日22:46:39.608 EDT:ISAKMP:(1013):处理ID有效载荷。讯息编号= 3331929193
001722:4月26日22:46:39.608 EDT:ISAKMP:(1013):处理ID有效载荷。讯息编号= 3331929193
001723:4月26日22:46:39.608 EDT:ISAKMP:(1013):QM响应器获取SPI
001724:4月26日22:46:39.608 EDT:ISAKMP:(1013):节点3331929193,输入= IKE_MESG_FROM_PEER,IKE_QM_EXCH
001725:4月26日22:46:39.608 EDT:ISAKMP:(1013):旧状态= IKE_QM_READY 新状态= IKE_QM_SPI_STARVE
001726:4月26日22:46:39.608 EDT:ISAKMP:(1013): 创建IPSec SA
001727:Apr 26 22:46:39.608 EDT:        入站SA从19.9.17.1到19.24.11.142(f / i)  0/ 0
       (代理人198.96.176.41至19.24.11.245)
001728:4月26日22:46:39.608 EDT:        具有spi 0x4F77DACA和conn_id 0
001729:4月26日22:46:39.608 EDT:        寿命3600秒
001730:Apr 26 22:46:39.608 EDT:        出站SA从19.24.11.142到19.9.17.1(f / i)0/0
       (代理19.24.11.245至198.96.176.41)
001731:Apr 26 22:46:39.608 EDT:         has spi 0x990B6255和conn_id 0
001732:4月26日22:46:39.608 EDT:        寿命3600秒
001733:Apr 26 22:46:39.608 EDT:ISAKMP:(1013):将数据包发送到19.9.17.1 my_port 500 peer_port 500(R)QM_IDLE     
001734:4月26日22:46:39.608 EDT:ISAKMP:(1013):发送IKE IPv4数据包。
001735:4月26日22:46:39.608 EDT:ISAKMP:(1013):节点3331929193,输入= IKE_MESG_INTERNAL,IKE_GOT_SPI
001736:4月26日22:46:39.608 EDT:ISAKMP:(1013):旧状态= IKE_QM_SPI_STARVE 新状态= IKE_QM_R_QM2
001737:Apr 26 22:46:39.608 EDT:IPSEC(key_engine):收到包含1条KMI消息的队列事件
001738:4月26日22:46:39.608 EDT:加密mapdb:proxy_match
        src addr     : 19.24.11.245
        dst addr     : 198.96.176.41
        protocol     : 0
        src port     : 0
        dst port     : 0
001739:4月26日22:46:39.612 EDT:IPSEC(crypto_ipsec_sa_find_ident_head):重新连接相同的代理和对等19.9.17.1
001740:Apr 26 22:46:39.612 EDT:IPSEC(policy_db_add_ident):src 19.24.11.245,dest 198.96.176.41,dest_port 0

001741:Apr 26 22:46:39.612 EDT:IPSEC(create_sa): 被创造
 (sa)sa_dest = 19.24.11.142,sa_proto = 50,
   sa_spi = 0x4F77DACA(1333254858),
   sa_trans = esp-3des esp-sha-hmac,sa_conn_id = 2001
   sa_lifetime(k / sec)=(4586756/3600)
001742:4月26日22:46:39.612 EDT:IPSEC(create_sa):创建了sa,
 (sa)sa_dest = 19.9.17.1,sa_proto = 50,
   sa_spi = 0x990B6255(2567660117),
   sa_trans = esp-3des esp-sha-hmac,sa_conn_id = 2002
   sa_lifetime(k / sec)=(4586756/3600)
001743:Apr 26 22:46:39.656 EDT:ISAKMP(1013):从19.9.17.1 dport 500 sport 500 Global(R)QM_IDLE接收到数据包     
001744:4月26日22:46:39.656 EDT:ISAKMP:(1013):删除节点-963038103错误FALSE原因“ QM已完成(等待)”
001745:Apr 26 22:46:39.656 EDT:ISAKMP:(1013):节点3331929193,输入= IKE_MESG_FROM_PEER,IKE_QM_EXCH
001746:4月26日22:46:39.656 EDT:ISAKMP:(1013):旧状态= IKE_QM_R_QM2 新状态= IKE_QM_PHASE2_COMPLETE
001747:Apr 26 22:46:39.656 EDT:IPSEC(key_engine):收到了包含1条KMI消息的队列事件
001748:4月26日22:46:39.656 EDT:IPSEC(key_engine_enable_outbound):已从ISAKMP启用通知
001749:Apr 26 22:46:39.656 EDT:IPSEC(key_engine_enable_outbound):使用spi 2567660117/50启用SA
001750:Apr 26 22:46:39.656 EDT:IPSEC(update_current_outbound_sa):获取对SPI 990B6255的启用SA对等体19.9.17.1当前出站sa
001751:4月26日22:46:39.656 EDT:IPSEC(update_current_outbound_sa):将对等端19.9.17.1当前出站sa更新到SPI 990B6255
001752:4月26日22:46:39.696 EDT:%AAA-3-BADSERVERTYPEERROR:无法处理会计服务器类型tacacs +(未知)
001753:Apr 26 22:46:39.756 EDT:ISAKMP(1013):从19.9.17.1 dport 500 sport 500 Global(R)QM_IDLE接收到数据包     
001754:4月26日22:46:39.756 EDT:ISAKMP:(1013):第2阶段数据包与先前数据包重复。
001755:4月26日22:46:39.756 EDT:ISAKMP:(1013):由于重发阶段2而重发
001756:Apr 26 22:46:39.756 EDT:ISAKMP:(1013):忽略重传,因为phase2节点标记为死-963038103
001757:Apr 26 22:46:39.856 EDT:ISAKMP(1013):从19.9.17.1 dport 500 sport 500 Global(R)QM_IDLE接收到数据包     
001758:4月26日22:46:39.856 EDT:ISAKMP:(1013):第2阶段数据包与先前数据包重复。
[确认]
001759:4月26日22:46:39.856 EDT:ISAKMP:(1013):由于重发阶段2而重发
001760:Apr 26 22:46:39.856 EDT:ISAKMP:(1013):忽略重传,因为phase2节点标记为已死-963038103
[确认]

调试命令:

  • 调试加密引擎-显示有关执行加密和解密的加密引擎的调试消息。
  • 调试crypto isakmp-显示有关IKE事件的消息。
  • 调试加密ipsec-显示IPSec事件。
  • 清除加密isakmp—清除所有活动的IKE连接。
  • 清除加密sa—清除所有IPSec SA。
  •  IPSEC1#显示crypto isakmp sa
    IPv4加密ISAKMP SA
    dst                  src              state                conn-id status
    19.24.11.142 19.9.17.1    QM_IDLE           1014 活性
    19.24.11.142 19.9.17.1    QM_IDLE           1013 活性
  • 清除密码isakmp 1013—清除SA的连接ID。

参考:

通过 约翰

发表评论