1. 没有Debug的情况

1. 理解×××触发过程 2. 可能的错误 
2. 有Debug但是无法建立×××的情况

1.MM 1-2个包问题

2.MM 3-4个包问题

3.MM 5-6个包问题

4.QM 1-3个包问题

 

3.IPSEC SA建立但是无法正常通讯的情况 

1. 没有Debug的情况 
a) 理解×××触发过程


1.包进入×××设备,检查对方通讯点的路由,路由引导流量出适当接口。 
2.包在出接口过程中撞击上MAP。

3.流量匹配上MAP的ACL(感兴趣流),触发加密。

4.发起和PEER的IKE协商,×××设备检查去往PEER的路由。


b) 可能的错误


1.no logging console <可能是考试预配置,也可能是故意trouble>。 
2.缺少去往对方通讯点的路由,或者没有引导对出接口。

3.正确的接口下没有map。

4.MAP配置的ACL错误,不能够匹配上感兴趣流。

5.缺少对方peer(加密点)的路由。

6.由于NAT,感兴趣流改变,需要在NAT里排除感兴趣流。

注意:先NAT后加密

7.EZ×××有时会出现不发起的现象,需要重敲重运用<应该是特定IOS bug>

 

Debug crypto ipsec /iskmap sa

show crypto isakmp sa

show crypto ipsec sa

sh cry engine connections active  路由器可用

http://tunnelsup.com/2010/05/02/isakmp-ike-phase-1-status-messages/

一阶段代码

 

这些都是可能ISAKMP ASA防火墙上的谈判状态。ISAKMP的代表:互联网安全协会和密钥管理协议

ASA的ISAKMP的态

MM_WAIT_MSG2 

初始DH公钥发送到响应。等待从初次接触对方答复。

如果困在这里,这通常意味着另一端没有响应。这可能是由于没有尽头的路线或尽头,没有在外面的ISAKMP启用或远端向下。

MM_WAIT_MSG3 

两个同龄人已同意在ISAKMP政策。等待钥匙扣信息交流。

挂断这里可能是由于不匹配的设备供应商,路由器与防火墙的方式,甚至是ASA的版本不匹配。

MM_WAIT_MSG4 在这一步的预共享密钥哈希交换。他们没有比较或检查,只派了。如果一方发送一个关键,没有收到一个关键的背面,这是隧道将失败。 我已经看到隧道的失败在这一步,由于有错误的同行IP地址的远程端。挂断就是在这里,也可能是由于不匹配的设备供应商,路由器与防火墙的方式,甚至是ASA的版本不匹配。

MM_WAIT_MSG5 这一步是设备交换预共享密钥, 如果预共享密钥不匹配,它会留在这个味精。我也看到了隧道停止这里时,NAT穿越时,它需要被关闭。

MM_WAIT_MSG6 这一步是设备交换预共享密钥, 如果预共享密钥不匹配,它会留在这个味精。我也看到了隧道的NAT穿越时,它需要被关闭时,停在这里。 但是,如果状态进入MSG6然后在ISAKMP被重置,这意味着第一阶段完成,而第2阶段失败。检查IPSec设置在第二阶段比赛,得到隧道MM_ACTIVE。



ISAKMP的谈判 AM_ACTIVE / MM_ACTIVE 

是完整的。第1阶段已成功完成。

PIX的ISAKMP的态

MM_NO_STATE

的ISAKMP SA已经建立,但还没有别的事情发生了。

MM_SA_SETUP

ISAKMP SA的同行已商定的参数。

MM_KEY_EXCH

同行交换Diffie-Hellman公共密钥和生成一个共享的秘密。我SAKMP SA仍然未经验证。

MM_KEY_AUTH

在ISAKMP SA已通过验证。如果路由器发起这种交换,这个国家的反itions立即QM_IDLE和快速模式交换开始。

AG_NO_STATE

在ISAKMP SA已经建立,但还没有别的事情发生了。

AG_INIT_EXCH

同行已经完成了第一次交换在Aggressive模式,但SA未验证。

AG_AUTH

在ISAKMP SA已通过验证。如果路由器发起这种交换,这个状态转换立即QM_IDLE和快速模式交换开始。

QM_IDLE

ISAKMP的谈判已经完成。第1阶段顺利完成。它仍然与它的对等认证,可用于随后的快速模式交换。

建立与ISAKMP或相1的错误


一个非常普遍的问题是第1阶段不建立正确的。

验证ISAKMP的参数完全匹配。

验证预共享密钥完全匹配。

检查,每边有一个同行地址的路由,你正试图形成一个隧道。

验证ISAKMP的外部接口上启用。

ESP流量被允许通过外部接口?

是UDP端口500打开外部ACL?

有些情况下需要UDP端口4500是为外开放。


2. 有Debug但是无法建立×××的情况

1.MM 1-2个包问题

MM 1-2个包的主要作用:协商PEER ADDRESS ;第一阶段策略。

错误可能

A.第一种debug报错信息

(2500)

10:41:57: ISAKMP (0:2): sending packet to 22.22.22.22 (I) MM_NO_STATE

10:41:57: ISAKMP (0:2): received packet from 22.22.22.22 (I) MM_NO_STATE

10:41:57: ISAKMP (0:2): Notify has no hash. Rejected.

(2600|IOS 12.3(10)a)

*Mar 1 00:15:34.515: ISAKMP: reserved not zero on NOTIFY payload!

*Mar 1 00:15:34.515: %CRYPTO-4-IKMP_BAD_MESSAGE: IKE message from 150.100.1.2 
failed its sanity check or is malformed.

策略错误:检查认证策略 hash策略 group策略 加密策略 时间策略

 

B.第二种debug报错信息

(2500)

11:00:06: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with 
peer at 22.22.22.22 ...

(2600|IOS 12.3(10)a)

*Mar 1 00:20:27.800: ISAKMP: reserved not zero on NOTIFY payload!

*Mar 1 00:20:27.800: %CRYPTO-4-IKMP_BAD_MESSAGE: IKE message from 150.100.1.2 
failed its sanity check or is malformed

更新源错误:检查本地的更新源是否是对方设置的peer,检查cry map 
cisco local-address 的使用是否正确。

 

C.第三种debug报错信息

(2500)

10:49:08: ISAKMP (0:1): No Cert or pre-shared address key.

10:49:08: ISAKMP (0:1): Can not start Main mode

10:49:08: ISAKMP (0:1): Can not start aggressive mode.

10:49:08: ISAKMP (0:1): purging SA.

10:49:08: ISAKMP (0:1): purging node -1300701206......

(2600|IOS 12.3(10)a)

*Mar 1 00:28:49.066: ISAKMP (0:1): Can not start Aggressive mode, trying Main mode.

*Mar 1 00:28:49.066: ISAKMP: Looking for a matching key for 150.100.1.100 in default

*Mar 1 00:28:49.066: ISAKMP: Looking for a matching key for 150.100.1.100 in keyring

*Mar 1 00:28:49.0.66: ISAKMP (0:1): No pre-shared key with 150.100.1.100!

*Mar 1 00:28:49.066: ISAKMP (0:1): No Cert or pre-shared address key.

*Mar 1 00:28:49.070: ISAKMP (0:1): construct_initial_message: Can not start Main 
mode

*Mar 1 00:28:49.070: ISAKMP (0:1): purging SA., sa=82D9802C, delme=82D9802C


*Mar 1 00:28:49.070: ISAKMP (0:1): purging node 889095291..

PEER错误:检查cry isa key cisco address 后边的地址是否和cry map
下set peer的地址相同。

 

D.第四种debug报错信息

(2500)

2d15h: ISAKMP (0:3): sending packet to 123.1.1.2 (I) MM_NO_STATE.....

2d15h: ISAKMP (0:3): retransmitting phase 1 MM_NO_STATE...

2d15h: ISAKMP (0:3): incrementing error counter on sa: retransmit phase 1

2d15h: ISAKMP (0:3): retransmitting phase 1 MM_NO_STATE

2d15h: ISAKMP (0:3): sending packet to 123.1.1.2 (I) MM_NO_STATE.

2d15h: ISAKMP (0:2): purging node -1637699089....

(2600|IOS 12.3(10)a)

*Mar 1 00:36:46.905: ISAKMP (0:1): retransmitting phase 1 MM_NO_STATE...

*Mar 1 00:36:46.905: ISAKMP (0:1): incrementing error counter on sa: retransmit 
phase 1

*Mar 1 00:36:46.905: ISAKMP (0:1): retransmitting phase 1 MM_NO_STATE

*Mar 1 00:36:46.905: ISAKMP (0:1): sending packet to 150.100.1.2 my_port 500 
peer_port 500 (I) MM_NO_STATE.....

*Mar 1 00:36:56.905: ISAKMP (0:1): retransmitting phase 1 MM_NO_STATE...

*Mar 1 00:36:56.905: ISAKMP (0:1): incrementing error counter on sa: retransmit 
phase 1

*Mar 1 00:36:56.905: ISAKMP (0:1): retransmitting phase 1 MM_NO_STATE

*Mar 1 00:36:56.905: ISAKMP (0:1): sending packet to 150.100.1.2 my_port 500 
peer_port 500 (I) MM_NO_STATE.....

PEER不可达错误:检查access-list和中间pix设备的转换。

 

2.MM 3-4个包问题

MM 3-4个包的主要作用:Diffie-Hellman exchange

暂时未发现任何报错

3.MM 5-6个包问题

MM 5-6个包的主要作用:responder to authenticate the initiating 
device

A.第一种debug报错信息

(2500)

10:45:43: ISAKMP (0:1): retransmitting phase 1 MM_KEY_EXCH...

10:45:43: ISAKMP (0:1): incrementing error counter on sa: retransmit phase 1

10:45:43: ISAKMP (0:1): retransmitting phase 1 MM_KEY_EXCH

10:45:43: ISAKMP (0:1): sending packet to 22.22.22.22 (I) MM_KEY_EXCH

10:45:43: ISAKMP (0:1): received packet from 22.22.22.22 (I) MM_KEY_EXCH

10:45:43: ISAKMP: reserved not zero on NOTIFY payload!

10:45:43: ISAKMP (0:1): incrementing error counter on sa: reset_retransmission.


10:45:44: ISAKMP (0:1): retransmitting phase 1 MM_KEY_EXCH...

10:45:44: ISAKMP (0:1): incrementing error counter on sa: retransmit phase 1

10:45:44: ISAKMP (0:1): retransmitting phase 1 MM_KEY_EXCH

10:45:44: ISAKMP (0:1): sending packet to 22.22.22.22 (I) MM_KEY_EXCH.

(2600|IOS 12.3(10)a)

*Mar 1 00:56:59.857: ISAKMP (0:2): received packet from 150.100.1.2 dport 500 sport 
500 Global (I) MM_KEY_EXCH

*Mar 1 00:56:59.861: ISAKMP (0:2): received packet from 150.100.1.2 dport 500 sport 
500 Global (I) MM_KEY_EXCH

*Mar 1 00:56:59.861: ISAKMP (0:2): received packet from 150.100.1.2 dport 500 sport 
500 Global (I) MM_KEY_EXCH

*Mar 1 00:56:59.865: ISAKMP (0:2): received packet from 150.100.1.2 dport 500 sport 
500 Global (I) MM_KEY_EXCH

*Mar 1 00:56:59.865: ISAKMP (0:2): received packet from 150.100.1.2 dport 500 sport 
500 Global (I) MM_KEY_EXCH

密钥错误:检查密钥

4.QM 1-3个包问题

QM 1-3个包的主要作用:交换第二阶段策略

A.第一种debug报错信息

(2500)

12:15:22: ISAKMP (0:1): processing HASH payload. message ID = -1653044044

12:15:22: ISAKMP (0:1): processing NOTIFY PROPOSAL_NOT_CHOSEN protocol 0

(2600|IOS 12.3(10)a)

*Mar 1 00:59:39.840: ISAKMP (0:3): processing HASH payload. message ID = 878633978

*Mar 1 00:59:39.840: ISAKMP (0:3): processing NOTIFY PROPOSAL_NOT_CHOSEN protocol 3

第二阶段策略错误:1 transform-set 2 access-list不匹配 3 接收端没有运用map


3. IPSEC SA建立但是无法正常通讯的情况

 

 

在IPSEC和EZ××× 同时存在的情况下:

EZ×××的map是要优先级小于L2L ×××的map。基本上也就这个注意的点。再就是pre-share key,

我记得“×××完全配置指南”上面说,如果一个设备的预共享密钥又有点到点,

又有group的话,会有问题。建议用profile来定义不同的key。但是具体这一条我有点忘了。