技术文档
当前位置:技术文档

MSR5660 IPsec无法建立处理经验案例

来源:未知 时间:2018-10-30 16:08
 

    总部为MSR5660,分部为F1030,采用主模式建立IPsec VPN。

  1、首先检查两边的配置,并没有发现问题。

  2、收集debug信息,发现有如下报错

  *Oct 12 09:26:41:494 2018 XX IKE/7/EVENT: -COntext=1; vrf = 0, local = XXX.XXX.XXX.XXX, remote = XXX.XXX.XXX.XXX/500

  Notification PAYLOAD_MALFORMED is received.

  3、仔细观察总部的所有配置,发现有两个一模一样的proposal

  ike proposal 1

  encryption-algorithm 3des-cbc

  #

  ike proposal 116

  encryption-algorithm 3des-cbc

  总部收到分部发起的协商报文时,查看协商报文的SA,会在本地全局配置中自上而下的寻找能够匹配到该SA的proposal(并不一定是ike profile内调用的),如果存在两个proposal内容一致,分别叫做1,116,但是ike profile内调用的116,实际在响应协商报文时设备会认为ike profile匹配的是proposal 1。在第5、6个报文时需要对报文进行解密,此时会使用proposal 1进行解密,但是设备会发现ike profile内并没有配置proposal 1,从而报错 。

  4、去掉proposal 1之后,发现两边IKE SA协商成功,IPsec正常建立。

  解决方法去掉重复ike proposal的配置,确保每个ike proposal内容不一样。


上一篇:华为交换机WEB界面无法配置端口PVID
下一篇:为何GE光?榈乃俾时晔妒1.25G
电子标识编号:20181009000069

售前客服

售前客服

电话:028-83252151

传真:028-85259033

咨询热线:15378180513
在线客服

免责声明: 本站资料及图片来源互联网文章,本网不承担任何由内容信息所引起的争议和法律责任。所有作品版权归原创作者所有,与本站立场无关,如用户分享不慎侵犯了您的权益,请联系我们告知,我们将做删除处理!