記IPSec VPN對接故障的排查

故障1：首次對接不成功

【問題現象】

Sangfor NGAF 與H3C F1030進行IPSec VPN第三方對接，第一階段IKE SA已經協商成功，第二階段IPSec SA協商不成功，提示原因：策略包含不正確的ACL或IKE配置檔案配置。

【排查過程】

Sangfor NGAF 與H3C F1030進行IPSec VPN第三方對接，因在Sangfor BBS上未查到與H3C裝置對接的文章，只能從網上找了一篇與H3C MSR裝置對接的文章照著進行操作，在配置H3C F1030的第一階段IKE引數時，就遇到了一個問題，文章介紹的是V5版本的配置，而當前裝置的版本是V7，配置命令已經作了調整，不再支援原有命令。沒辦法了，只能自己到H3C官網上查詢裝置的配置手冊，再看相關命令，慢慢摸索進行配置，在此不作詳細描述。

Sangfor NGAF 裝置上的配置是按網上文章操作的，配置完成，就等對接成功，便大功告成了。

左等不成，右等不成，千呼萬喚就是不出來。

先從對端來看一下狀態：

<ZT-F1030>disp ike sa verbose

-----------------------------------------------

Connection ID: 1

Outside VPN:

Inside VPN:

Profile: 1

Transmitting entity: Initiator

Initiator cookie: 2c9f239e250d0206

Responder cookie: baabf2fbe3467cc2

-----------------------------------------------

Local IP: 192.168.100.236

Local ID type: FQDN

Local ID: ZT-F1030

Remote IP: 2.34.Y.30

Remote ID type: FQDN

Remote ID: ZX-Sangfor

Authentication-method: PRE-SHARED-KEY

Authentication-algorithm: MD5

Encryption-algorithm: 3DES-CBC

Life duration(sec): 3600

Remaining key duration(sec): 1545

Exchange-mode: Aggressive

Diffie-Hellman group: Group 2

NAT traversal: Detected

Extend authentication: Disabled

Assigned IP address:

Vendor ID index:0xffffffff

Vendor ID sequence number:0x0

===================================================================================

ZT-F1030 IPSEC/6/IPSEC_SA_ESTABLISH_FAIL: Failed to establish IPsec SA.

Reason: The policy contains incorrect ACL or IKE profile configuration.

原因：策略包含不正確的ACL或IKE配置檔案配置。

PolicyName=720896, Seqnum=1.

SA information:

Role: responder.

Local address: 192.168.100.236

Remote address: 2.34.Y.30

Sour addr: 192.168.100.236/255.255.255.255 Port: 0 Protocol: IP

Dest addr: 2.34.Y.30/255.255.255.255 Port: 0 Protocol: IP

Inside VPN instance:

Outside VPN instance:

Inbound AH SPI: 0

Outbound AH SPI: 0

Inbound ESP SPI: 0

Outbound ESP SPI: 0

ACL number: 3999

第一階段IKE SA已經協商成功，第二階段IPSec SA協商不成功，原因：策略包含不正確的ACL或IKE配置檔案配置。

對照配置檔案，兩端配置的引數完全一致，一時也搞不明白原因。

那再從本端來看下除錯日誌：

[ipsec_vpn][message:106] [2.34.X.2<3>] 收到無效的IKE頭部,解析失敗

[ipsec_vpn][packet:317] ipsec_do_recv failed

[ipsec_vpn][ipsec:55] failed to message_create 4294967295

[ipsec_vpn][message:106] [2.34.X.2<3>] 收到無效的IKE頭部,解析失敗

[ipsec_vpn][packet:317] ipsec_do_recv failed

[ipsec_vpn][ipsec:55] failed to message_create 4294967295

也看不出啥明堂。

沒有辦法，從Sangfor BBS上再找了一篇NGAF與Cisco對接的文章，仔細對比，發現配置過程中漏了一步操作，那就是“配置VPN介面”，但到現在也不明白這一步的意義。

【處理過程】

在本端Sangfor NGAF裝置上完成了“配置VPN介面”操作。

完成這一操作後，終於看到久違的連線隧道建立了，兩端都能互相Ping通對方了。

對接成功了。

【問題原因】

在本端Sangfor NGAF裝置上未配置“VPN介面”操作。

故障2：裝置禁用後再次啟用對接不成功

【問題現象】

Sangfor NGAF 與H3C F1030進行IPSec VPN第三方對接，對接已經成功。

因網路測試的需要，11點32分禁用了IPSec VPN對接裝置，測試完成後，11點36分重新啟用裝置，但連線隧道就是建立不起來。

【排查過程】

重新啟用裝置後，連線隧道建立不起來，開始懷疑配置引數發生了改變，又重新配置了一遍。

檢視NGAF上的除錯日誌：

告警 12:37:23 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警 12:37:16 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警 12:37:05 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

資訊 12:37:01 [ipsec_vpn][starter:170] 新增第一階段 ZT

資訊 12:37:01 [ipsec_vpn][config:373] 檔案Equipment.vpn發生改變,名字:ZT 改變標記:10000

告警 12:36:56 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警 12:36:52 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

......

告警 12:34:36 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警 12:34:36 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

資訊 12:34:31 [ipsec_vpn][config:373] 檔案OutPolicy.vpn發生改變,名字:ZX-ZT 改變標記:c000

資訊 12:34:25 [ipsec_vpn][config:373] 檔案OutPolicy.vpn發生改變,名字:SJ-ZT 改變標記:c000

告警 12:34:17 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警 12:34:16 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警 12:34:01 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

資訊 12:33:58 [ipsec_vpn][config:373] 檔案InPolicy.vpn發生改變,名字:ZT-In 改變標記:8000

告警 12:33:56 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警 12:33:47 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警 12:33:41 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警 12:33:36 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

......

告警 12:31:19 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警 12:31:16 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

資訊 12:31:07 [ipsec_vpn][starter:170] 新增第一階段 ZT

資訊 12:31:07 [ipsec_vpn][config:373] 檔案Equipment.vpn發生改變,名字:ZT 改變標記:2010000

告警 12:31:06 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警 12:30:56 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警 12:30:51 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警 12:30:45 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警 12:30:36 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警 12:30:23 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警 12:30:22 [ipsec_vpn][ike_sa:1597] [@ZT<ZT-In-ZX-ZT>:2.34.X.2<167><c6fda82b418d2ddc:05b3f1eb>] 跟2.34.X.2<167>建立連線超時,狀態:out-1_in-0

告警 12:30:22 [ipsec_vpn][ike_sa:1597] [@ZT<ZT-In-SJ-ZT>:2.34.X.2<167><c6fda82b418d2ddc:41a13ee9>] 跟2.34.X.2<167>建立連線超時,狀態:out-1_in-0

告警 12:30:16 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警 12:30:08 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警 12:29:56 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警 12:29:48 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警 12:29:37 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警 12:29:36 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警 12:29:21 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警 12:29:16 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警 12:29:15 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警 12:29:02 [ipsec_vpn][payload_notify:204] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 收到對端的通知:錯誤的提議格式, 詳情:請檢查第一階段的安全提議是否配置一致, 包括加密演算法/認證演算法/DH群/生存期

告警 12:28:58 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警 12:28:56 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警 12:28:52 [ipsec_vpn][payload_notify:204] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 收到對端的通知:錯誤的提議格式, 詳情:請檢查第一階段的安全提議是否配置一致, 包括加密演算法/認證演算法/DH群/生存期

告警 12:28:42 [ipsec_vpn][payload_notify:204] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 收到對端的通知:錯誤的提議格式, 詳情:請檢查第一階段的安全提議是否配置一致, 包括加密演算法/認證演算法/DH群/生存期

告警 12:28:36 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警 12:28:36 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警 12:28:32 [ipsec_vpn][payload_notify:204] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 收到對端的通知:錯誤的提議格式, 詳情:請檢查第一階段的安全提議是否配置一致, 包括加密演算法/認證演算法/DH群/生存期

資訊 12:28:32 [ipsec_vpn][exchange:1357] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 開始協商第二階段[ZT-In-ZX-ZT]

資訊 12:28:32 [ipsec_vpn][exchange:1357] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 開始協商第二階段[ZT-In-SJ-ZT]

告警 12:28:20 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警 12:28:16 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

資訊 12:28:05 [ipsec_vpn][exchange:708] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 第一階段安全聯盟協商成功.

資訊 12:28:05 [ipsec_vpn][payload_natd:86] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 遠端在NAT後

資訊 12:28:05 [ipsec_vpn][payload_natd:84] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 本端在NAT後

告警 12:28:03 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

資訊 12:27:55 [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 對端支援NATT, 最高支援的版本為NATT_IETF_00

資訊 12:27:55 [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 對端支援NATT, 最高支援的版本為NATT_IETF_02_N

資訊 12:27:55 [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 對端支援NATT, 最高支援的版本為NATT_IETF_03

資訊 12:27:55 [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 對端支援NATT, 最高支援的版本為NATT_RFC

資訊 12:27:55 [ipsec_vpn][vendor:316] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 對端支援DPD

資訊 12:27:55 [ipsec_vpn][exchange:573] [2.34.X.2<167>] 響應對端第一階段的協商 , 使用配置ZT:2.34.Y.30<0>, 開始建立sa

告警 12:27:55 [ipsec_vpn][ike_setting:1023] 線上路1上沒有找到地址為2.34.X.2<167>的第一階段配置

告警 12:27:55 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警 12:27:52 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警 12:27:46 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

......

告警 12:24:55 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警 12:24:53 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

資訊 11:36:09 [ipsec_vpn][starter:170] 新增第一階段 ZT

資訊 11:36:09 [ipsec_vpn][config:373] 檔案Equipment.vpn發生改變,名字:ZT 改變標記:2010000

資訊 11:33:57 [ipsec_vpn][starter:170] 新增第一階段 ZT

資訊 11:33:57 [ipsec_vpn][config:373] 檔案Equipment.vpn發生改變,名字:ZT 改變標記:10001

告警 11:32:27 [ipsec_vpn][ike_setting:205] 裝置ZT已經被禁用

資訊 11:32:27 [ipsec_vpn][config:373] 檔案Equipment.vpn發生改變,名字:ZT 改變標記:10001

實在沒有辦法了，12點42分，提單請求技術支援。

很快(2-3分鐘吧，是很快吧。等著可覺得時間老長老長的)，400工程師有了響應。

建立遠端後，400工程師很快(同樣是2-3分鐘吧，很長吧。可一邊看著操作，一邊交流網路環境，覺得時間過的很快)給出了問題原因：本端斷開隧道後，對端並不認為隧道已經斷開，還在繼續傳送後續資料，而未再從頭開始進行協商。

給出的解決辦法是：在對端裝置上清除原有的連線狀態，重新開始進行協商。

因兩端相隔距離較遠，對端又無法進行遠端操作，且配置的IKE SA超時時間是3600秒，估計到現場操作的話，因超時時間已到，隧道也已經恢復，故採取的操作是等待對端連線超時，重新開始連線協商。

【處理過程】

1 、超時時間一到，立馬重新開始協商，隧道成功建立。

資訊 13:21:58 [ipsec_vpn][exchange:830] [@ZT<ZT-In-ZX-ZT>:2.34.X.2<44418><3da13a5d187659c7:1a025cdb>] 第二階段安全聯盟協商成功,隧道已經建立.

資訊 13:21:58 [ipsec_vpn][exchange:830] [@ZT<ZT-In-SJ-ZT>:2.34.X.2<44418><3da13a5d187659c7:e141a13e>] 第二階段安全聯盟協商成功,隧道已經建立.

資訊 13:21:58 [ipsec_vpn][exchange:1357] [@ZT:2.34.X.2<44418><3da13a5d187659c7:00000000>] 開始協商第二階段[ZT-In-ZX-ZT]

資訊 13:21:58 [ipsec_vpn][exchange:1357] [@ZT:2.34.X.2<44418><3da13a5d187659c7:00000000>] 開始協商第二階段[ZT-In-SJ-ZT]

資訊 13:21:56 [ipsec_vpn][exchange:708] [@ZT:2.34.X.2<44418><3da13a5d187659c7:00000000>] 第一階段安全聯盟協商成功.

資訊 13:21:56 [ipsec_vpn][payload_natd:86] [@ZT:2.34.X.2<44418><3da13a5d187659c7:00000000>] 遠端在NAT後

資訊 13:21:56 [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><3da13a5d187659c7:00000000>] 對端支援NATT, 最高支援的版本為NATT_IETF_00

資訊 13:21:56 [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><3da13a5d187659c7:00000000>] 對端支援NATT, 最高支援的版本為NATT_IETF_02_N

資訊 13:21:56 [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><3da13a5d187659c7:00000000>] 對端支援NATT, 最高支援的版本為NATT_IETF_03

資訊 13:21:56 [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><3da13a5d187659c7:00000000>] 對端支援NATT, 最高支援的版本為NATT_RFC

資訊 13:21:56 [ipsec_vpn][vendor:316] [@ZT:2.34.X.2<167><3da13a5d187659c7:00000000>] 對端支援DPD

資訊 13:21:56 [ipsec_vpn][exchange:573] [2.34.X.2<167>] 響應對端第一階段的協商, 使用配置ZT:2.34.Y.30<0>, 開始建立sa

告警 13:21:56 [ipsec_vpn][ike_setting:1023] 線上路1上沒有找到地址為2.34.X.2<167>的第一階段配置

告警 13:21:56 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

告警 13:21:45 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

告警 13:21:36 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗

......

告警 13:15:22 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線

資訊 13:15:21 [ipsec_vpn][starter:170] 新增第一階段 ZT

2 、在除錯日誌上，看到提示： 對端支援DPD。

在對端裝置上，配置IPSec VPN隧道的DPD檢測，本端裝置上也勾選“啟用DPD”。

配置完成後，再次測試，隧道斷開後能很快自動恢復。

【問題原因】

1 、兩端野蠻模式對接，本端只能作為響應端被動應答，不能作為發起端主動發起連線；

2 、對端作為發起端，未配置隧道狀態檢測；

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/81227/viewspace-2670438/，如需轉載，請註明出處，否則將追究法律責任。

記IPSec VPN對接故障的排查

相關文章