见故障类Debugging信息及处理建议如下图所示。
分别讲解IKEv1、IKEv2各种模式下的故障类打印信息以及解决办法建议。
协商阶段 | Debugging信息 | 描述 | 可能的异常原因及处理建议 |
|---|---|---|---|
IKEv1主模式协商 | |||
发起方重传Send_SA msg | Max transmit reached for Send_SA message (Source:Port = 1.1.1.1:500), (Destination:port =2.1.1.1:500) | 本端发送Send_SA消息次数达到最大,但是未收到对端的正确应答。 |
|
响应方Recv_SA msg失败 | Message from peer 2.1.1.1: dropping Message due to notification type NO_PROPOSAL_CHOSEN | 收到对端发送的SA消息,本端校验SA载荷失败,并触发NO_PROPOSAL_CHOSEN通知。 | 两端ike proposal配置不匹配。当配置相同,两端采用SM4算法时,请确保SM4算法实现标准一致,请在ike peer下确认ipsec sm4 version { draft-standard | standard }配置,默认使用draft-standard标准。 |
响应方重传Send_SA msg | Max transmit reached for Send_SA message (Source:Port = 1.1.1.1:500), (Destination:port =2.1.1.1:500) | 本端作为响应方,接收SA消息正常并正确回应SA,但是对端没有继续协商导致回应SA消息达到最大次数。 |
|
发起方重传Send_ KE_NONCE msg | Max transmit reached for Send_KE_NONCE message (Source:Port = 1.1.1.1:500), (Destination:port =2.1.1.1:500) | 本端作为发起方,一直在发送Send_KE_NONCE消息,由于没有收到对端的应答报文,本端发送消息次数达到最大。 | 两端NAT穿越配置不一致。请修改ike peer下nat traversal配置与对端保持一致。 |
发起方重传Send_ID_AUTH msg | Max transmit reached for Send_ID_AUTH message (Source:Port = 1.1.1.1:500), (Destination:port = 2.1.1.1:500) 或 Max transmit reached for Send_ID_AUTH message (Source:Port = 1.1.1.16:4500), (Destination:port = 2.1.1.1:4500) | 本端作为发起方,一直在发送Send_ID_AUTH消息,由于没有收到对端的应答报文,本端发送消息次数达到最大。 |
|
响应方Recv_ID_AUTH消息处理失败 | Reserved Field in payload 5 is not zero 或 Invalid Next Payload of Type 23 in Payload Type 5 | 报文解密后出现载荷头中保留字段非零异常或者出现载荷类型异常。 |
|
Received peer ID: abc, type: FQDN ERROR - Received remote-name(abc) does not match with peer remote-name(yyy) | 接收到对端的ID与本端ike peer下配置的remote-id不匹配。本示例中,对端的ID的类型为FQDN,内容为abc,本端ike peer下配置remote-id-type为FQDN,ID内容yyy。 | 发起方的local-id-type/local-id与响应方的remote-id-type/remote-id不匹配。 |
IKEv1野蛮模式协商 | |||
发起方重传Send_SA_KE_NONCE_ID_VID消息 | Max transmit reached for Send_SA_KE_NONCE_ID_VID message (Source:Port = 1.1.1.1:500), (Destination:port = 2.1.1.1:500) | 本端发送Send_SA_KE_NONCE_ID_VID消息次数达到最大,但是未收到对端的正确应答。 |
|
响应方Recv_SA_KE_NONCE_ID_VID消息处理失败 | ERROR - validate proposal: failure Message from peer 2.1.1.1: negotiate sa: proposal 1 failed | 收到对端发送的SA_KE_NONCE_ID_VID消息,本端校验SA载荷失败。 | 两端ike proposal配置不匹配。当配置相同,两端采用SM4算法时,请确保SM4算法实现标准一致,请在ike peer下确认ipsec sm4 version { draft-standard | standard }配置,默认使用draft-standard标准。 |
ERROR - Received remote-name(abc) does not match with peer remote-name(cba) | 接收到对端的ID与本端ike peer下配置的remote-id不匹配。本示例中,对端的ID的类型为FQDN,内容为abc,本端ike peer下配置remote-id-type为FQDN,ID内容cba。 | 本端的local-id/local-id-type与对端的remote-id/remote-id-type不一致。 |
响应方重传Send_SA_KE_NONCE_ID_VID_ NATD_AUTH消息 | IKEv1 receive payloads: SA | KE | ID | NONCE | VENDOR | VENDOR | VENDOR | VENDOR | VENDOR | VENDOR | Max transmit reached for Send_SA_KE_NONCE_ID_VID_ NATD_AUTH message (Source:Port = 1.1.1.1:500), (Destination:port = 2.1.1.1:500) | 本端作为响应方,接收消息正常并正确回应,但是对端没有继续协商导致回应Send_SA_KE_NONCE_ID_ VID_NATD_AUTH消息达到最大次数。 |
|
发起方Recv_SA_KE_NONCE_ ID_VID_NATD_AUTH处理失败 | Message from peer 1.1.1.1: dropping Message due to notification type INVALID_HASH_INFORMATION | 接收到SA_KE_NONCE_ ID_VID_NATD_AUTH消息,在pre-shared-key认证方式下,校验HASH载荷失败,并触发INVALID_HASH_ INFORMATION通知。 | 两端pre-shared-key不一致。 |
ERROR - Received remote-name(cba@abc.com) does not match with peer remote-name(abc@abc.com) | 接收到对端的ID与本端ike peer下配置的remote-id不匹配。本示例中,对端的ID的内容为cba@abc.com,本端ike peer下配置remote-id内容abc@abc.com。 | 发起方的remote-id/remote-id-type与对端的local-id/local-id-type不一致。 |
IKEv1快速模式协商 | |||
发起方重传Send_HASH_SA_NONCE消息 | Max transmit reached for Send_HASH_SA_NONCE message (Source:Port = 1.1.1.1:500), (Destination:port = 2.1.1.1:500) | 本端发送Send_HASH_SA_NONCE消息次数达到最大,但是未收到对端的正确应答。 |
|
响应方Recv_HASH_SA_NONCE消息失败 | Message from peer 1.1.1.1: dropping Message due to notification type INVALID_ID_INFORMATION | 通过ACL查找IPSec策略失败,并触发了INVALID_ID_INFORMATION通知。 | 两端ACL非镜像配置,一般存在三种情况:
|
Message from peer 1.1.1.1: dropping Message due to notification type NO_PROPOSAL_CHOSEN | 收到对端发送的SA载荷,本端IPSec proposal与SA载荷匹配失败,并触发NO_PROPOSAL_CHOSEN通知。 |
|
IKEv1协商异常通知消息 | |||
阶段一 | phase 1 exchange-type 5 step 0 Message from peer 1.1.1.1: Got NOTIFY of type NO_PROPOSAL_CHOSEN | IKEv1协商方式阶段一协商过程收到对端的NO_PROPOSAL_CHOSEN通知消息(对端ike proposal匹配失败)。 | 两端ike proposal配置不匹配。当配置相同,两端采用SM4算法时,请确保SM4算法实现标准一致,请在ike peer下确认ipsec sm4 version { draft-standard | standard}配置,默认时draft-standard标准。 |
phase 1 exchange-type 5 step 0 Message from peer 1.1.1.1: Got NOTIFY of type PAYLOAD_MALFORMED | IKEv1协商方式阶段一协商过程收到对端的PAYLOAD_MALFORMED通知消息。 |
| |
阶段二(快速模式) | Message from peer 1.1.1.1: Got NOTIFY of type INVALID_ID_INFORMATION | 接收到对端的INVALID_ID_INFORMATION通知消息。 | 对端匹配ACL失败。一般是两端ACL非镜像配置,存在三种情况:
|
Message from peer 1.1.1.1: Got NOTIFY of type NO_PROPOSAL_CHOSEN | 接收到对端的NO_PROPOSAL_CHOSEN通知消息。 |
|
IKEv2协商 | |||
发起方重传IKE_SA_INIT_Request消息 | Max transmit reached for IKE_SA_INIT_Request message (Source:Port = 1.1.1.1:500), (Destination:port = 2.1.1.1:500) | 本端发送IKE_SA_INIT_Request消息次数达到最大,但是未收到对端的正确应答。 |
|
响应方IKE_SA_INIT request消息处理失败 | IKEv2 Responder start IKE_SA_INIT exchange. No proposal can be chosen | 响应方接收IKE_SA_INIT request消息,SA载荷与本端配置的ike proposal不匹配。 | 两端的ike proposal配置不一致。 |
发起方重传IKE_AUTH request消息(或者收不到IKE_AUTH response) | IKEv2 send IKE_AUTH_Request msg (Source:Port = 1.1.1.1:500),(Destination:port = 2.1.1.1:500) Tx 1 times 后续无IKE_AUTH response接收。 或 Max transmit reached for IKE_AUTH_Request message (Source:Port = 1.1.1.1:4500), (Destination:port = 2.1.1.1:4500) | 发起方一直在发送IKE_AUTH_Request消息,但是没有接收到正确的应答报文,导致报文发送次数达到最大。 |
|
响应方IKE_AUTH request消息处理失败 | IKEv2 receive message from 1.1.1.1: Exchange type: IKE_AUTH, Message ID: 1, Packet contents: ... No proposal can be chosen SA negotiation for CHILD SA Failed | 响应方收到IKE_AUTH request消息,SA载荷与本端IPSec proposal匹配失败。 | 两端IPSec proposal配置不一致。 |
Authentication failed for the peer 1.1.1.1 Processing AUTH Payload Failed | 响应方收到IKE_AUTH request消息,校验认证载荷失败。 |
| |
IKEv2 receive message from 1.1.1.1: Exchange type: IKE_AUTH, Message ID: 1, Packet contents:.. Received peer ID: 10.10.10.10, type: FQDN. Peer ID does not match with configured remote-id 87. | 响应方收到IKE_AUTH request消息,校验ID失败。本示例中,对端的local-id-type为FQDN,内容为10.10.10.10,本端ike peer下配置的remote-id-type为FQDN,内容为87。 | 发起发的local-id-type/local-id与响应方的remote-id-type/remote-id配置不一致。 | |
Get IPSec policy: get IPsec policy failed. Error Code - 3. Sending unacceptable traffic-selectors for CHILD SA - Connection ID - 50335380 Processing TS Payload Failed | IKEv2协商时ACL通过TS载荷封装,通过ACL查找IPSec策略失败。 | 两端ACL配置非镜像,包含两种情况:
|
响应方处理CREATE_CHILD_SA request消息失败 | IKEv2 receive message from 1.1.1.1: Exchange type: CREATE_CHILD_SA, Message ID: 4, Packet contents: ... IKEv2 Responder start CREATE_CHILD_SA exchange. No proposal can be chosen | 响应方接收到CREATE_CHILD_SA request消息,匹配PFS失败(由于IKE_AUTH交换已经成功,说明IPSec proposal已经匹配成功)。 | 两端PFS配置不一致。 |
IKEv2异常通知消息 | Exchange type: IKE_SA_INIT, Message ID: 0, Packet contents: ... Processing Notify payload: NO_PROPOSAL_CHOSEN Proposal mismatch message received from the end | IKE_SA_INIT协商阶段收到对端NO_PROPOSAL_CHOSEN通知消息。 | 两端的ike proposal配置不一致。 |
IKEv2 receive message from 1.1.1.1: Exchange type: IKE_AUTH, Message ID: 1, Packet contents: ... Processing Notify payload: NO_PROPOSAL_CHOSEN Proposal mismatch message received from the end | IKE_AUTH协商阶段收到对端NO_PROPOSAL_CHOSEN通知消息。 | 两端IPSec proposal配置不一致。 | |
IKEv2 receive message from 1.1.1.1: Exchange type: CREATE_CHILD_SA, Message ID: 72, Packet contents: ... Processing Notify payload: NO_PROPOSAL_CHOSEN Proposal mismatch message received from the end | CREATE_CHILD_SA协商阶段接收到对端NO_PROPOSAL_CHOSEN通知消息。 | 两端PFS配置不一致。 | |
Processing Notify payload: AUTHENTICATION_FAILED Authentication_failed message received from the end | IKE_AUTH协商阶段接收到对端AUTHENTICATION_FAILED通知消息(对端出现认证失败错误)。 |
| |
IKEv2 receive message from 1.1.1.1: Exchange type: IKE_AUTH, Message ID: 1, Packet contents: ... Processing Notify payload: TS_UNACCEPTABLE Acl mismatch message received from the end | IKE_AUTH协商阶段接收到对端TS_UNACCEPTABLE通知消息(对端出现感兴趣流不匹配错误)。 | 对端发生ACL不匹配错误。两端ACL配置非镜像,包含两种情况:
| |
IKEv2 receive payloads: DELETE | 接收到对端发送的IKE SA删除消息。 | 对端IKE SA状态异常,请在对端分析。 |
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/4651.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
