IPSec故障诊断

 

现象描述:IPSec-manual或IPSec-isakmp方式下,双方配置好后或双方协商通过后,双方仍然无法进行通信。同时若打开debug crypto packet,则会出现如下信息:

rec'd IPSEC packet from IPADDR has invalid spi.

 

可能造成这个故障的原因和解决方法列表:

可能原因

判断方法和解决方案

对端的outboundspi值与本端的inbound不同或配置的配置策略不同(espah)。 检查双方的配置信息,尤其是在IPSec-manual方式下,检查双方的SPI值是否按方向(inbound、outbound)匹配。而在IPSec-isakmp下,则可能是协商出错。

 

 

现象描述:IPSec-manual方式下,双方配置好后,双方仍然无法进行通信。同时若打开debug crypto packet,则会出现如下信息:

packet missing policy.

 

可能造成这个故障的原因和解决方法列表:

可能原因

判断方法和解决方案

对端的outbound的配置策略和本地不同(espah)。 检查双方的配置信息,很可能是:对端策略配置为esp,而本端策略为ah+esp

 

 

现象描述:IPSec-manual方式下,双方配置好后,双方仍然无法进行通信。同时若打开debug crypto packet,则会出现如下信息:

rec'd IPSEC packet from IPADDR has bad pading.

 

可能造成这个故障的原因和解决方法列表:

可能原因

判断方法和解决方案

对端的outbound的加密密钥与本端的inbound的不同。 检查对端的outbound的加密密钥和本端的inbound的加密密钥,务必使两者相同。

 

 

现象描述:IPSec-manual方式下,双方配置好后,双方仍然无法进行通信。同时若打开debug crypto packet,则会出现如下信息:

rec'd IPSEC packet mac verify failed.

 

可能造成这个故障的原因和解决方法列表:

可能原因

判断方法和解决方案

对端的outboundESPAH验证密钥与本端的inbound的不同。 检查对端的outboundESPAH验证密钥和本端的inbound的验证密钥,务必使两者相同。

 

 

现象描述:IPSec-manual方式下,双方配置好后,双方仍然无法进行通信。同时若打开debug crypto packet,则会出现如下信息:

rec'd IPSEC packet from IPADDR to IPADDR does not agree with policy.

 

可能造成这个故障的原因和解决方法列表:

可能原因

判断方法和解决方案

IPSEC处理完成的包与相应的access-list不同,子MAP的访问列表配置有问题。 检查本端sub_map配置的access-list是否符合进行IPSec通信的要求。

 

 

现象描述:IPSec-isakmp方式下,双方配置好后,由对端开始发起协商,无法进行通信,show crypto isakmp sa也没有发现和当前通信相关的成功的SA信息。在协商同时若打开debug crypto isakmp,则会出现如下信息:

ISAKMP(xxx): processing ISAKMP-SA payload

(随后有若干transform-payload中的内容)

ISAKMP(xxx): no acceptable Oakley Transform

ISAKMP(xxx)negotiate error NO_PROPOSAL_CHOSEN

 

可能造成这个故障的原因和解决方法列表:

可能原因

判断方法和解决方案

双方配置的ISAKMP策略不匹配。 检查两端的ISAKMP-Policy是否相同,尤其是对端的lifetime不能大于本地的lifetime值。

 

 

现象描述:IPSec-isakmp方式下,双方配置好后,由对端开始发起协商,无法进行通信,show crypto ipsec sa也没有发现和当前通信相关的成功的SA信息。在协商同时若打开debug crypto isakmp,则会出现如下信息:

ISAKMP(xxx): processing IPSec-SA payload

(随后有若干transform-payload中的内容)

ISAKMP(xxx):      no acceptable Proposal in IPsec SA

ISAKMP(xxx)negotiate error NO_PROPOSAL_CHOSEN

 

可能造成这个故障的原因和解决方法列表:

可能原因

判断方法和解决方案

双方配置的IPSec策略不匹配。 检查两端的相应的transform-set是否匹配,相应的sub_map下的pfs属性是否相同。

 

 

现象描述:IPSec-isakmp方式下,双方配置好后,由对端开始发起协商,无法进行通信,show crypto ipsec sa也没有发现和当前通信相关的成功的SA信息。在协商同时若打开debug crypto isakmp,则会出现如下信息:

ISAKMP: attr accept again transform-set xxx

...

ISAKMP(xxx)dealing with ID-payload

(随后有对端为IPSec通信所配置的access-list内容)

ISAKMP(xxx):     ISAKMP: not found matchable policy

 

可能造成这个故障的原因和解决方法列表:

可能原因

判断方法和解决方案

双方配置的IPSec规则不匹配。 检查两端相应的sub_map下的规则(access-list)是否匹配。

 

 

现象描述:IPSec-isakmp方式下,双方配置好后,由本端开始发起协商,无法进行通信,show crypto isakmp sa也没有发现和当前通信相关的成功的SA信息。在协商同时若打开debug crypto isakmp,则会出现如下信息:

ISAKMP(xxx): dealing with Notify Payload

ISAKMP: Notify-Message: NO_PROPOSAL_CHOSEN

 

可能造成这个故障的原因和解决方法列表:

可能原因

判断方法和解决方案

双方配置的ISAKMP策略不匹配 检查两端的ISAKMP-Policy是否匹配。

 

 

现象描述:IPSec-isakmp方式下,双方配置好后,由本端开始发起协商,无法进行通信,show crypto isakmp sa发现和当前通信相关的成功(M_SA_SETUP)的SA信息,但是show crypto ipsec sa无相关的SA信息。在协商同时若打开debug crypto isakmp,则会出现如下信息:

ISAKMP(xxx): dealing with Notify Payload

ISAKMP:        Notify-Message: NO_PROPOSAL_CHOSEN

 

可能造成这个故障的原因和解决方法列表:

可能原因

判断方法和解决方案

双方配置的IPSec策略不匹配,或配置的规则(access-list)不匹配。 检查两端的相应的transform-set是否匹配,相应的sub_map下的pfs属性和规则(access-list)是否匹配。

 

 

现象描述:IPSec-isakmp方式下,双方配置好后,由一方开始发起协商,无法进行通信,show crypto ipsec sa无相关的SA信息。在协商同时若打开debug crypto isakmp,则会出现如下信息:

ISAKMP(xxx): dealing with Notify Payload

ISAKMP:        Notify-Message: INVALID-EXCHANGE-TYPE

ISAKMP(xxx): negotiate error INVALID-EXCHANGE-TYPE

 

可能造成这个故障的原因和解决方法列表:

可能原因

判断方法和解决方案

对端不支持此种类型的协商报文。 改变对端设置,更换一种模式(比如由Aggressive模式换成Main模式)。

 

 

现象描述:IPSec-isakmp方式下,双方配置好后,由一方开始发起协商,无法进行通信,show crypto ipsec sa无相关的SA信息。在协商同时若打开debug crypto isakmp,则会出现如下信息:

ISAKMP(xxx): dealing with Notify Payload

ISAKMP:        Notify-Message: INVALID-SPI

ISAKMP(xxx): negotiate error INVALID-SPI

 

可能造成这个故障的原因和解决方法列表:

可能原因

判断方法和解决方案

协商过程中所生成的SPI值无效。 检查本端配置,并重新协商。

 

 

现象描述:IPSec-isakmp方式下,双方配置好后,由一方开始发起协商,无法进行通信,show crypto ipsec sa无相关的SA信息。在协商同时若打开debug crypto isakmp,则会出现如下信息:

ISAKMP(xxx): dealing with Notify Payload

ISAKMP:        Notify-Message: INVALID-ID-INFORMATION

ISAKMP(xxx): negotiate error INVALID-ID-INFORMATION

 

可能造成这个故障的原因和解决方法列表:

可能原因

判断方法和解决方案

对端无法理解协议报文中ID-Payload 检查本端配置,并重新协商。

 

 

现象描述:IPSec-isakmp方式下,双方配置好后,由一方开始发起协商,无法进行通信,show crypto ipsec sa无相关的SA信息。在协商同时若打开debug crypto isakmp,则会出现如下信息:

ISAKMP(xxx): dealing with Notify Payload

ISAKMP:        Notify-Message: ATTRIBUTES-NOT-SUPPORTED

ISAKMP(xxx): negotiate error ATTRIBUTES-NOT-SUPPORTED

 

可能造成这个故障的原因和解决方法列表:

可能原因

判断方法和解决方案

对端不支持本端所提出的建议(通常是在处理SA-Payload时,即ISAKMP策略和IPSec策略)。 更改本端配置,并重新协商。

 

 

现象描述:IPSec-isakmp方式下,双方配置好后,由一方开始发起协商,无法进行通信,show crypto ipsec sa无相关的SA信息。在协商同时若打开debug crypto isakmp,则会出现如下信息:

ISAKMP(xxx): dealing with Notify Payload

ISAKMP:        Notify-Message: AUTHENTICATION-FAILED

ISAKMP(xxx): negotiate error AUTHENTICATION-FAILED

 

可能造成这个故障的原因和解决方法列表:

可能原因

判断方法和解决方案

本端和对端所配置的认证密钥不匹配。 检查密钥配置,并重新协商。