IPSec一直Flag都是Unknow,不知道哪里的问题
- 0关注
- 0收藏,399浏览
问题描述:
我们集团分了一个IP给我们公司(都在一个楼),连到我们公司楼层的防火墙上,防火墙负责上网和IPSec对接IDC,昨晚还没事,今早7点多同事说IPSec连不上了,因为防火墙的配置没动过,所以我感觉应该是集团在网络里面调了什么,不过他们的主管说我们的接口是二层直接过来的,说不可能是他们的问题,他们也没有控制我们的权力,但是死活就是建立不了通道,设备也重启过了,配置没有变过,之前一年都是这个配置,也没出过问题,想问一下,谁遇到过这种问题,我网上排查的都看过了, 从我这里还是无法解决,一直都是Flag Unknow,两边都能相互识别到对端的公网,但是就是连不上,带源ping一直都是超时,大家觉得是哪边的问题呢?谢谢
组网及组网描述:
- 2023-09-19提问
- 举报
-
(0)
排查命令:
dis ipsec sa
dis ike sa
debug ike er
Unknow估计配置有问题了。duebug看一波就知道了
- 2023-09-19回答
- 评论(2)
- 举报
-
(0)
ipsec sa不显示,ike sa 有时候会显示对端公网ip,flag是unknow,不过过一会儿就没有了,两端都是这样
另外,两端在防火墙的公网IP是可以相互ping通的
你看看 双方的密钥 算法 以及服务框架
- 2023-09-19回答
- 评论(7)
- 举报
-
(0)
第一阶段的问题 查查ike未协商起来,检查两边的配置是否一致
都是没问题的,很突然,昨天下班还没试,今早突然就不行了
两端在防火墙的公网IP是可以相互ping通的
公网能ping通不代表ipsec 隧道是不是通道 测试一下保护的数据流 能不能互访
debugging 抓包看看
*Sep 19 16:13:56:512 2023 CNEDC-SJ IKE/7/ERROR: vrf = 0, local = 111.204.30.254, remote = 123.59.189.34/500 Failed to negotiate IKE SA. *Sep 19 16:14:34:537 2023 CNEDC-SJ IKE/7/ERROR: vrf = 0, local = 111.204.30.254, remote = 123.59.189.34/500 No HASH in notification payload, Rejected. *Sep 19 16:14:40:517 2023 CNEDC-SJ IKE/7/ERROR: vrf = 0, local = 111.204.30.254, remote = 123.59.189.34/500 No HASH in notification payload, Rejected. *Sep 19 16:14:56:517 2023 CNEDC-SJ IKE/7/ERROR: vrf = 0, local = 111.204.30.254, remote = 123.59.189.34/500 No HASH in notification payload, Rejected. *Sep 19 16:15:14:517 2023 CNEDC-SJ IKE/7/ERROR: vrf = 0, local = 111.204.30.254, remote = 123.59.189.34/500 No HASH in notification payload, Rejected. *Sep 19 16:15:26:517 2023 CNEDC-SJ IKE/7/ERROR: vrf = 0, local = 111.204.30.254, remote = 123.59.189.34/500 No HASH in notification payload, Rejected. *Sep 19 16:15:46:518 2023 CNEDC-SJ IKE/7/ERROR: vrf = 0, local = 111.204.30.254, remote = 123.59.189.34/500 No HASH in notification payload, Rejected. *Sep 19 16:16:07:512 2023 CNEDC-SJ IKE/7/ERROR: vrf = 0, local = 111.204.30.254, remote = 123.59.189.34/500 Failed to negotiate IKE SA. *Sep 19 16:16:12:288 2023 CNEDC-SJ IKE/7/ERROR: vrf = 0, local = 111.204.30.254, remote = 123.59.189.34/500 No HASH in notification payload, Rejected. *Sep 19 16:16:17:517 2023 CNEDC-SJ IKE/7/ERROR: vrf = 0, local = 111.204.30.254, remote = 123.59.189.34/500 No HASH in notification payload, Rejected. *Sep 19 16:16:29:517 2023 CNEDC-SJ IKE/7/ERROR: vrf = 0, local = 111.204.30.254, remote = 123.59.189.34/500 No HASH in notification payload, Rejected. *Sep 19 16:16:46:517 2023 CNEDC-SJ IKE/7/ERROR: vrf = 0, local = 111.204.30.254, remote = 123.59.189.34/500 No HASH in notification payload, Rejected. *Sep 19 16:17:04:517 2023 CNEDC-SJ IKE/7/ERROR: vrf = 0, local = 111.204.30.254, remote = 123.59.189.34/500 No HASH in notification payload, Rejected.
第一阶段的问题 查查ike未协商起来,检查两边的配置是否一致
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
另外,两端在防火墙的公网IP是可以相互ping通的