97国际

97国际·(中国区)集团官方网站

中文

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

登录

97国际·(中国区)集团官方网站

产品

< 返回主菜单

产品

解决计划

< 返回主菜单

解决计划中心

行业

服务支持

合作伙伴

关于97国际

投资者关系

返回主菜单

选择区域/语言

97国际·(中国区)集团官方网站

首页 >服务与支持 >常见问题 >【IPsec系列】第一阶段协商不乐成

【IPsec系列】第一阶段协商不乐成

宣布时间：2024-06-13

点击量：1262

案例1 IPSEC一阶段协商不乐成

（一）征象形貌

通过下令show crypto isakmp sa审查第一阶段是否建设乐成的要领如下。

97国际·(中国区)集团官方网站

而若是当泛起状态为MM_SI1_WR1, MM_SA_SETUP、MM_SI2_WR2, MM_VERIFY、MM_SI3_WR3, MM_VERIFY时间，说明ISAKMP SA无法协商乐成。

（二）组网拓扑

97国际·(中国区)集团官方网站

（三）可能缘故原由

1、连通性异常
2、出接口未挪用vpn加密图
3、总部和分支policy战略设置纷歧致
4、预共享密钥设置过失
5、FQDN设置过失
6、运营商过滤
7、总部为二级路由的情形下出口装备没有设置映射
8、多线路情形下选路过失

（四）处置惩罚办法

办法1、比照分支和总部设置

确认预共享秘钥、第一阶协商参数、第二阶段协商参数、感兴趣流等是否一致

a、设置IPsec 第一阶段
97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

办法2、确定VPN是否建设乐成
a、Web界面显示蓝色的情形或点击显示已接入

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

b、下令行可以通过show crypto state审查VPN第一阶段的情形

show crypto is sa 审查第一阶段建设的情形，IDLE状态体现是建设正常的状态

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

【增补】

一阶段建设不乐成状态显示

1、分支的状态机为MM_SI1_WR1, MM_SA_SETUP，而总部没有状态机信息

第一个报文发出，总部没有收到

2、分支的状态机为MM_SI1_WR1, MM_SA_SETUP，并且打印Send ISAKMP negotiate message failed, errno:148, No route to host syslog

第一个报文发出，可是路由选路失败（检查下转发路由）

3、分支和总部的状态机都为：MM_SI1_WR1, MM_SA_SETUP

可以通过debug cry is审查，若提醒no proposal chosen，协商参数纷歧致；若是需要设置fqdn，需要使用野蛮模式对接

4、分支和总部的状态机都为：MM_SI2_WR2, MM_VERIFY

卡在三四报文交互，可以通过debug cry is信息审查日志，一样平常来说是报文重传，或者使用证书协商，证书装置保存问题

5、分支和总部的状态机都为：MM_SI3_WR3, MM_VERIFY

预共享密钥纷歧致，身份验证失败，nat情形泛起丢包，通过debug cry is审查协商的情形，以及装备外网口抓包可以进一步审查下

办法3、检查总部和分支是否连通性异常

a、总部和分部建设VPN首先要包管总分部的公网地址连通性正常，如下图，假设下图两台装备都为出口，接口上的设置的是公网地址总部出口IP
97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

分支出口IP

97国际·(中国区)集团官方网站

出口地址连通性测试，下令行上带对应接口地址为源ping对端公网地址，如下图

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

b、若是总分部联通性欠亨，show crypto state是没有打印信息的
97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

show crypto state

97国际·(中国区)集团官方网站

办法4、检查VPN匹配对应的出接口下是否挪用VPN加密图

a、下令行下挪用加密图的下令

总部若是没有挪用加密图的情形下，总部show crypto state没有打印信息，分部show crypto state卡在第一、二报文交互状态

总部：

97国际·(中国区)集团官方网站

分部：

97国际·(中国区)集团官方网站

分部没有挪用加密图的情形下，总分部show crypto state都没有打印信息
总部：
97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

分部：

97国际·(中国区)集团官方网站

办法5、检查总部和分支policy战略设置纷歧致
总分部之间isa战略参数需要逐一对应，若是纷歧样是建设不起来的，详细如下图

总部：

97国际·(中国区)集团官方网站

分部：

97国际·(中国区)集团官方网站

【增补】
第一阶段协商参数对应下令行为show crypto isa policy

b、若是由于第一阶段协商参数纷歧致，导致show crypto state卡在第一、二报文交互状态

主模式协商失败，show crypto state发明分支的状态机为MM_SI1_WR1, MM_SA_SETUP，而总部没有状态机信息
97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

办法6、检查预共享密钥设置是否过失

预共享密钥设置过失导致IPsec第一阶段协商五、六个报文交互不乐成，在总分部上通过show crypto state看到的状态划分为

分部：

97国际·(中国区)集团官方网站

总部：

97国际·(中国区)集团官方网站

【增补】

11.x的装备可以审查目今设置的预共享密钥是几多，通过下令show crypto isa key decrypt

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

对应的web界面设置页面

97国际·(中国区)集团官方网站

办法7、检查是否QDN设置过失

分部显示五六个报文交互状态

97国际·(中国区)集团官方网站

总部显示第一阶段建设完成

97国际·(中国区)集团官方网站

总部设置：

97国际·(中国区)集团官方网站

分支FQDN对应的下令行设置为：self-identity fqdn EG3000GE

分部设置：

97国际·(中国区)集团官方网站

总部FQDN设置为：

self-identity fqdn EG3000SE

crypto isakmp key 7 151b5f7246 hostname EG3000GE

crypto map gi0/7 1 ipsec-isakmp

set peer EG3000GE

分部上的对端ID需要和总部的本机ID一致

办法8、检查是否运营商过滤

可以通过show ip f f | in 500审查对应的流表信息是否有到EG，若是没有，并且装备上并没有ip session filter的设置举行过滤，可以嫌疑运营商问题.

97国际·(中国区)集团官方网站

办法9、总部为二级路由的情形下出口装备没有设置映射

网络拓扑为出口路由下联EG下联内网，EG作为二级路由设置IPsec总部，需要在总部出口设置映射UDP4500和500

对应web界面设置：

97国际·(中国区)集团官方网站

对应下令行设置：

97国际·(中国区)集团官方网站

办法10、多线路情形下选路过失

可以通过审查流表的出接口判断是否是往返路径纷歧致

解决计划：多线路的情形下有可能导致往返路径纷歧致，建议设置一条静态路由，目的地址指向对端公网地址走对应的下一跳，包管往返路径一致

详细设置如下：

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

审查IPSEC报文选路要领：

sh ip f m | in FLOW-AUDIT-K ---show出来后，审查第一列的数值

sh ip f pri 数值 | in 500
97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

（五）信息网络

若是上述要领举行设置检查后依旧无法正常建设IPSec VPN，可以网络以下信息之后反响 4008-111-000工程师，协助您进一步排查故障。

show version

show int usage

sh tcp connect

sh ip udp

sh memory

sh cpu | ex 0.00

sh exec

show coredump file

show run

show log reverse

show ip interface brief

show ip route

show crypto state （网络3次，每次距离5s）

show ip fpm flow | in 500 （网络3次，每次距离5s）

show ip fpm pri 1 | in 500

show crypto log

debug su

execute diagnose-cmd fdisk

execute diagnose-cmd mount

IPSEC分支信息网络：

debug cry isa

debug cry ipsec

terminal monitor

网络5分钟左右

Undebug all --网络完需要关闭debug信息

IPSEC总部信息网络：（推荐总部只有一起IPSEC可以开启网络，凌驾一起以上审慎开启debug，以免影响营业）

debug cry isa

debug cry ipsec

terminal monitor

网络5分钟左右

Undebug all --网络完需要关闭debug信息

（六）总结与建议

IKE SA建设失败常见缘故原由是IKE协商报文不可达，和IKE SA两头战略（加密算法、DH组、预共享秘钥、身份认证要领）不匹配

如遇该故障无法定位解决的可点击：售后闪电兔处置惩罚

您可能还关注的问题

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

售前咨询
售后服务
意见反响

97国际·(中国区)集团官方网站

返回顶部

收起

97国际·(中国区)集团官方网站

文档评价

该资料是否解决了您的问题？

您对目今页面的知足度怎样？

不咋滴

很是好

您知足的缘故原由是（多�。�？

您不知足的缘故原由是（多�。�？

您是否尚有其他问题或建议？

为了快速解决并回复您的问题，您可以留下联系方法

邮箱

手机号

我已赞成并阅读隐私政策

谢谢您的反�。�

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

97国际·(中国区)集团官方网站

请选择服务项目

售前咨询

售后服务

意见反响

更多联系方法