1. 没有Debug的情况 1. 理解×××触发过程 2. 可能的错误 1.MM 1-2个包问题 2.MM 3-4个包问题 3.MM 5-6个包问题 4.QM 1-3个包问题
3.IPSEC SA建立但是无法正常通讯的情况 1. 没有Debug的情况
3.流量匹配上MAP的ACL(感兴趣流),触发加密。 4.发起和PEER的IKE协商,×××设备检查去往PEER的路由。
3.正确的接口下没有map。 4.MAP配置的ACL错误,不能够匹配上感兴趣流。 5.缺少对方peer(加密点)的路由。 6.由于NAT,感兴趣流改变,需要在NAT里排除感兴趣流。 注意:先NAT后加密 7.EZ×××有时会出现不发起的现象,需要重敲重运用<应该是特定IOS bug>
Debug crypto ipsec /iskmap sa show crypto isakmp sa show crypto ipsec sa sh cry engine connections active 路由器可用 http://tunnelsup.com/2010/05/02/isakmp-ike-phase-1-status-messages/ 一阶段代码
这些都是可能ISAKMP ASA防火墙上的谈判状态。ISAKMP的代表:互联网安全协会和密钥管理协议 ASA的ISAKMP的态 MM_WAIT_MSG2 初始DH公钥发送到响应。等待从初次接触对方答复。 如果困在这里,这通常意味着另一端没有响应。这可能是由于没有尽头的路线或尽头,没有在外面的ISAKMP启用或远端向下。 MM_WAIT_MSG3 两个同龄人已同意在ISAKMP政策。等待钥匙扣信息交流。 挂断这里可能是由于不匹配的设备供应商,路由器与防火墙的方式,甚至是ASA的版本不匹配。 MM_WAIT_MSG4 在这一步的预共享密钥哈希交换。他们没有比较或检查,只派了。如果一方发送一个关键,没有收到一个关键的背面,这是隧道将失败。 我已经看到隧道的失败在这一步,由于有错误的同行IP地址的远程端。挂断就是在这里,也可能是由于不匹配的设备供应商,路由器与防火墙的方式,甚至是ASA的版本不匹配。 MM_WAIT_MSG5 这一步是设备交换预共享密钥, 如果预共享密钥不匹配,它会留在这个味精。我也看到了隧道停止这里时,NAT穿越时,它需要被关闭。 MM_WAIT_MSG6 这一步是设备交换预共享密钥, 如果预共享密钥不匹配,它会留在这个味精。我也看到了隧道的NAT穿越时,它需要被关闭时,停在这里。 但是,如果状态进入MSG6然后在ISAKMP被重置,这意味着第一阶段完成,而第2阶段失败。检查IPSec设置在第二阶段比赛,得到隧道MM_ACTIVE。 ISAKMP的谈判 AM_ACTIVE / MM_ACTIVE 是完整的。第1阶段已成功完成。 PIX的ISAKMP的态 MM_NO_STATE 的ISAKMP SA已经建立,但还没有别的事情发生了。 MM_SA_SETUP ISAKMP SA的同行已商定的参数。 MM_KEY_EXCH 同行交换Diffie-Hellman公共密钥和生成一个共享的秘密。我SAKMP SA仍然未经验证。 MM_KEY_AUTH 在ISAKMP SA已通过验证。如果路由器发起这种交换,这个国家的反itions立即QM_IDLE和快速模式交换开始。 AG_NO_STATE 在ISAKMP SA已经建立,但还没有别的事情发生了。 AG_INIT_EXCH 同行已经完成了第一次交换在Aggressive模式,但SA未验证。 AG_AUTH 在ISAKMP SA已通过验证。如果路由器发起这种交换,这个状态转换立即QM_IDLE和快速模式交换开始。 QM_IDLE ISAKMP的谈判已经完成。第1阶段顺利完成。它仍然与它的对等认证,可用于随后的快速模式交换。 建立与ISAKMP或相1的错误 一个非常普遍的问题是第1阶段不建立正确的。 验证ISAKMP的参数完全匹配。 验证预共享密钥完全匹配。 检查,每边有一个同行地址的路由,你正试图形成一个隧道。 验证ISAKMP的外部接口上启用。 ESP流量被允许通过外部接口? 是UDP端口500打开外部ACL? 有些情况下需要UDP端口4500是为外开放。
1.MM 1-2个包问题 MM 1-2个包的主要作用:协商PEER ADDRESS ;第一阶段策略。 错误可能 A.第一种debug报错信息 (2500) 10:41:57: ISAKMP (0:2): sending packet to 22.22.22.22 (I) MM_NO_STATE 10:41:57: ISAKMP (0:2): received packet from 22.22.22.22 (I) MM_NO_STATE 10:41:57: ISAKMP (0:2): Notify has no hash. Rejected. (2600|IOS 12.3(10)a) *Mar 1 00:15:34.515: ISAKMP: reserved not zero on NOTIFY payload! *Mar 1 00:15:34.515: %CRYPTO-4-IKMP_BAD_MESSAGE: IKE message from 150.100.1.2 策略错误:检查认证策略 hash策略 group策略 加密策略 时间策略
B.第二种debug报错信息 (2500) 11:00:06: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with (2600|IOS 12.3(10)a) *Mar 1 00:20:27.800: ISAKMP: reserved not zero on NOTIFY payload! *Mar 1 00:20:27.800: %CRYPTO-4-IKMP_BAD_MESSAGE: IKE message from 150.100.1.2 更新源错误:检查本地的更新源是否是对方设置的peer,检查cry map
C.第三种debug报错信息 (2500) 10:49:08: ISAKMP (0:1): No Cert or pre-shared address key. 10:49:08: ISAKMP (0:1): Can not start Main mode 10:49:08: ISAKMP (0:1): Can not start aggressive mode. 10:49:08: ISAKMP (0:1): purging SA. 10:49:08: ISAKMP (0:1): purging node -1300701206...... (2600|IOS 12.3(10)a) *Mar 1 00:28:49.066: ISAKMP (0:1): Can not start Aggressive mode, trying Main mode. *Mar 1 00:28:49.066: ISAKMP: Looking for a matching key for 150.100.1.100 in default *Mar 1 00:28:49.066: ISAKMP: Looking for a matching key for 150.100.1.100 in keyring *Mar 1 00:28:49.0.66: ISAKMP (0:1): No pre-shared key with 150.100.1.100! *Mar 1 00:28:49.066: ISAKMP (0:1): No Cert or pre-shared address key. *Mar 1 00:28:49.070: ISAKMP (0:1): construct_initial_message: Can not start Main *Mar 1 00:28:49.070: ISAKMP (0:1): purging SA., sa=82D9802C, delme=82D9802C
PEER错误:检查cry isa key cisco address 后边的地址是否和cry map
D.第四种debug报错信息 (2500) 2d15h: ISAKMP (0:3): sending packet to 123.1.1.2 (I) MM_NO_STATE..... 2d15h: ISAKMP (0:3): retransmitting phase 1 MM_NO_STATE... 2d15h: ISAKMP (0:3): incrementing error counter on sa: retransmit phase 1 2d15h: ISAKMP (0:3): retransmitting phase 1 MM_NO_STATE 2d15h: ISAKMP (0:3): sending packet to 123.1.1.2 (I) MM_NO_STATE. 2d15h: ISAKMP (0:2): purging node -1637699089.... (2600|IOS 12.3(10)a) *Mar 1 00:36:46.905: ISAKMP (0:1): retransmitting phase 1 MM_NO_STATE... *Mar 1 00:36:46.905: ISAKMP (0:1): incrementing error counter on sa: retransmit *Mar 1 00:36:46.905: ISAKMP (0:1): retransmitting phase 1 MM_NO_STATE *Mar 1 00:36:46.905: ISAKMP (0:1): sending packet to 150.100.1.2 my_port 500 *Mar 1 00:36:56.905: ISAKMP (0:1): retransmitting phase 1 MM_NO_STATE... *Mar 1 00:36:56.905: ISAKMP (0:1): incrementing error counter on sa: retransmit *Mar 1 00:36:56.905: ISAKMP (0:1): retransmitting phase 1 MM_NO_STATE *Mar 1 00:36:56.905: ISAKMP (0:1): sending packet to 150.100.1.2 my_port 500 PEER不可达错误:检查access-list和中间pix设备的转换。
2.MM 3-4个包问题 MM 3-4个包的主要作用:Diffie-Hellman exchange 暂时未发现任何报错 3.MM 5-6个包问题 MM 5-6个包的主要作用:responder to authenticate the initiating A.第一种debug报错信息 (2500) 10:45:43: ISAKMP (0:1): retransmitting phase 1 MM_KEY_EXCH... 10:45:43: ISAKMP (0:1): incrementing error counter on sa: retransmit phase 1 10:45:43: ISAKMP (0:1): retransmitting phase 1 MM_KEY_EXCH 10:45:43: ISAKMP (0:1): sending packet to 22.22.22.22 (I) MM_KEY_EXCH 10:45:43: ISAKMP (0:1): received packet from 22.22.22.22 (I) MM_KEY_EXCH 10:45:43: ISAKMP: reserved not zero on NOTIFY payload! 10:45:43: ISAKMP (0:1): incrementing error counter on sa: reset_retransmission.
10:45:44: ISAKMP (0:1): incrementing error counter on sa: retransmit phase 1 10:45:44: ISAKMP (0:1): retransmitting phase 1 MM_KEY_EXCH 10:45:44: ISAKMP (0:1): sending packet to 22.22.22.22 (I) MM_KEY_EXCH. (2600|IOS 12.3(10)a) *Mar 1 00:56:59.857: ISAKMP (0:2): received packet from 150.100.1.2 dport 500 sport *Mar 1 00:56:59.861: ISAKMP (0:2): received packet from 150.100.1.2 dport 500 sport *Mar 1 00:56:59.861: ISAKMP (0:2): received packet from 150.100.1.2 dport 500 sport *Mar 1 00:56:59.865: ISAKMP (0:2): received packet from 150.100.1.2 dport 500 sport *Mar 1 00:56:59.865: ISAKMP (0:2): received packet from 150.100.1.2 dport 500 sport 密钥错误:检查密钥 4.QM 1-3个包问题 QM 1-3个包的主要作用:交换第二阶段策略 A.第一种debug报错信息 (2500) 12:15:22: ISAKMP (0:1): processing HASH payload. message ID = -1653044044 12:15:22: ISAKMP (0:1): processing NOTIFY PROPOSAL_NOT_CHOSEN protocol 0 (2600|IOS 12.3(10)a) *Mar 1 00:59:39.840: ISAKMP (0:3): processing HASH payload. message ID = 878633978 *Mar 1 00:59:39.840: ISAKMP (0:3): processing NOTIFY PROPOSAL_NOT_CHOSEN protocol 3 第二阶段策略错误:1 transform-set 2 access-list不匹配 3 接收端没有运用map
在IPSEC和EZ××× 同时存在的情况下: EZ×××的map是要优先级小于L2L ×××的map。基本上也就这个注意的点。再就是pre-share key, 我记得“×××完全配置指南”上面说,如果一个设备的预共享密钥又有点到点, 又有group的话,会有问题。建议用profile来定义不同的key。但是具体这一条我有点忘了。 |
转载于:https://blog.51cto.com/506398/721857