IPSec故障诊断
现象描述:在IPSec-manual或IPSec-isakmp方式下,双方配置好后或双方协商通过后,双方仍然无法进行通信。同时若打开debug
crypto packet,则会出现如下信息:
rec'd IPSEC
packet from IPADDR has invalid spi.
可能造成这个故障的原因和解决方法列表:
可能原因 |
判断方法和解决方案 |
对端的outbound的spi值与本端的inbound不同或配置的配置策略不同(esp、ah)。 |
检查双方的配置信息,尤其是在IPSec-manual方式下,检查双方的SPI值是否按方向(inbound、outbound)匹配。而在IPSec-isakmp下,则可能是协商出错。 |
现象描述:在IPSec-manual方式下,双方配置好后,双方仍然无法进行通信。同时若打开debug
crypto packet,则会出现如下信息:
packet missing
policy.
可能造成这个故障的原因和解决方法列表:
可能原因 |
判断方法和解决方案 |
对端的outbound的配置策略和本地不同(esp、ah)。 |
检查双方的配置信息,很可能是:对端策略配置为esp,而本端策略为ah+esp。 |
现象描述:在IPSec-manual方式下,双方配置好后,双方仍然无法进行通信。同时若打开debug
crypto packet,则会出现如下信息:
rec'd IPSEC
packet from IPADDR has bad pading.
可能造成这个故障的原因和解决方法列表:
可能原因 |
判断方法和解决方案 |
对端的outbound的加密密钥与本端的inbound的不同。 |
检查对端的outbound的加密密钥和本端的inbound的加密密钥,务必使两者相同。 |
现象描述:在IPSec-manual方式下,双方配置好后,双方仍然无法进行通信。同时若打开debug
crypto packet,则会出现如下信息:
rec'd IPSEC
packet mac verify failed.
可能造成这个故障的原因和解决方法列表:
可能原因 |
判断方法和解决方案 |
对端的outbound的ESP或AH验证密钥与本端的inbound的不同。 |
检查对端的outbound的ESP或AH验证密钥和本端的inbound的验证密钥,务必使两者相同。 |
现象描述:在IPSec-manual方式下,双方配置好后,双方仍然无法进行通信。同时若打开debug
crypto packet,则会出现如下信息:
rec'd IPSEC
packet from IPADDR to IPADDR does not agree with policy.
可能造成这个故障的原因和解决方法列表:
可能原因 |
判断方法和解决方案 |
IPSEC处理完成的包与相应的access-list不同,子MAP的访问列表配置有问题。 |
检查本端sub_map配置的access-list是否符合进行IPSec通信的要求。 |
现象描述:在IPSec-isakmp方式下,双方配置好后,由对端开始发起协商,无法进行通信,show
crypto isakmp sa也没有发现和当前通信相关的成功的SA信息。在协商同时若打开debug
crypto isakmp,则会出现如下信息:
ISAKMP(xxx):
processing ISAKMP-SA payload
(随后有若干transform-payload中的内容)
ISAKMP(xxx):
no acceptable Oakley Transform
ISAKMP(xxx):negotiate error NO_PROPOSAL_CHOSEN”
可能造成这个故障的原因和解决方法列表:
可能原因 |
判断方法和解决方案 |
双方配置的ISAKMP策略不匹配。 |
检查两端的ISAKMP-Policy是否相同,尤其是对端的lifetime不能大于本地的lifetime值。 |
现象描述:在IPSec-isakmp方式下,双方配置好后,由对端开始发起协商,无法进行通信,show
crypto ipsec sa也没有发现和当前通信相关的成功的SA信息。在协商同时若打开debug
crypto isakmp,则会出现如下信息:
ISAKMP(xxx):
processing IPSec-SA payload
(随后有若干transform-payload中的内容)
ISAKMP(xxx):
no acceptable Proposal in IPsec SA
ISAKMP(xxx):negotiate error NO_PROPOSAL_CHOSEN”
可能造成这个故障的原因和解决方法列表:
可能原因 |
判断方法和解决方案 |
双方配置的IPSec策略不匹配。 |
检查两端的相应的transform-set是否匹配,相应的sub_map下的pfs属性是否相同。 |
现象描述:在IPSec-isakmp方式下,双方配置好后,由对端开始发起协商,无法进行通信,show
crypto ipsec sa也没有发现和当前通信相关的成功的SA信息。在协商同时若打开debug
crypto isakmp,则会出现如下信息:
ISAKMP: attr
accept again transform-set xxx
...
ISAKMP(xxx):dealing
with ID-payload
(随后有对端为IPSec通信所配置的access-list内容)
ISAKMP(xxx): ISAKMP: not found matchable policy
可能造成这个故障的原因和解决方法列表:
可能原因 |
判断方法和解决方案 |
双方配置的IPSec规则不匹配。 |
检查两端相应的sub_map下的规则(access-list)是否匹配。 |
现象描述:在IPSec-isakmp方式下,双方配置好后,由本端开始发起协商,无法进行通信,show
crypto isakmp sa也没有发现和当前通信相关的成功的SA信息。在协商同时若打开debug
crypto isakmp,则会出现如下信息:
ISAKMP(xxx):
dealing with Notify Payload
ISAKMP: Notify-Message: NO_PROPOSAL_CHOSEN
可能造成这个故障的原因和解决方法列表:
可能原因 |
判断方法和解决方案 |
双方配置的ISAKMP策略不匹配 |
检查两端的ISAKMP-Policy是否匹配。 |
现象描述:在IPSec-isakmp方式下,双方配置好后,由本端开始发起协商,无法进行通信,show
crypto isakmp sa发现和当前通信相关的成功(M_SA_SETUP)的SA信息,但是show
crypto ipsec sa无相关的SA信息。在协商同时若打开debug
crypto isakmp,则会出现如下信息:
ISAKMP(xxx):
dealing with Notify Payload
ISAKMP: Notify-Message: NO_PROPOSAL_CHOSEN
可能造成这个故障的原因和解决方法列表:
可能原因 |
判断方法和解决方案 |
双方配置的IPSec策略不匹配,或配置的规则(access-list)不匹配。 |
检查两端的相应的transform-set是否匹配,相应的sub_map下的pfs属性和规则(access-list)是否匹配。 |
现象描述:在IPSec-isakmp方式下,双方配置好后,由一方开始发起协商,无法进行通信,show
crypto ipsec sa无相关的SA信息。在协商同时若打开debug
crypto isakmp,则会出现如下信息:
ISAKMP(xxx):
dealing with Notify Payload
ISAKMP:
Notify-Message: INVALID-EXCHANGE-TYPE
或
ISAKMP(xxx):
negotiate error INVALID-EXCHANGE-TYPE
可能造成这个故障的原因和解决方法列表:
可能原因 |
判断方法和解决方案 |
对端不支持此种类型的协商报文。 |
改变对端设置,更换一种模式(比如由Aggressive模式换成Main模式)。 |
现象描述:在IPSec-isakmp方式下,双方配置好后,由一方开始发起协商,无法进行通信,show
crypto ipsec sa无相关的SA信息。在协商同时若打开debug
crypto isakmp,则会出现如下信息:
ISAKMP(xxx):
dealing with Notify Payload
ISAKMP:
Notify-Message: INVALID-SPI
或
ISAKMP(xxx): negotiate error INVALID-SPI
可能造成这个故障的原因和解决方法列表:
可能原因 |
判断方法和解决方案 |
协商过程中所生成的SPI值无效。 |
检查本端配置,并重新协商。 |
现象描述:在IPSec-isakmp方式下,双方配置好后,由一方开始发起协商,无法进行通信,show
crypto ipsec sa无相关的SA信息。在协商同时若打开debug
crypto isakmp,则会出现如下信息:
ISAKMP(xxx):
dealing with Notify Payload
ISAKMP:
Notify-Message: INVALID-ID-INFORMATION
或
ISAKMP(xxx): negotiate error INVALID-ID-INFORMATION
可能造成这个故障的原因和解决方法列表:
可能原因 |
判断方法和解决方案 |
对端无法理解协议报文中ID-Payload。 |
检查本端配置,并重新协商。 |
现象描述:在IPSec-isakmp方式下,双方配置好后,由一方开始发起协商,无法进行通信,show
crypto ipsec sa无相关的SA信息。在协商同时若打开debug
crypto isakmp,则会出现如下信息:
ISAKMP(xxx):
dealing with Notify Payload
ISAKMP:
Notify-Message: ATTRIBUTES-NOT-SUPPORTED
或
ISAKMP(xxx): negotiate error ATTRIBUTES-NOT-SUPPORTED
可能造成这个故障的原因和解决方法列表:
可能原因 |
判断方法和解决方案 |
对端不支持本端所提出的建议(通常是在处理SA-Payload时,即ISAKMP策略和IPSec策略)。 |
更改本端配置,并重新协商。 |
现象描述:在IPSec-isakmp方式下,双方配置好后,由一方开始发起协商,无法进行通信,show
crypto ipsec sa无相关的SA信息。在协商同时若打开debug
crypto isakmp,则会出现如下信息:
ISAKMP(xxx):
dealing with Notify Payload
ISAKMP:
Notify-Message: AUTHENTICATION-FAILED
或
ISAKMP(xxx): negotiate error AUTHENTICATION-FAILED
可能造成这个故障的原因和解决方法列表:
可能原因 |
判断方法和解决方案 |
本端和对端所配置的认证密钥不匹配。 |
检查密钥配置,并重新协商。 |