отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
373
Просмотры
0
Полезный материал
5
Ответы
Anton84
Beginner

DMVPN не поднимается ipsec на споке

Добрый день, есть большое облако dmvpn, на одном споке ну никак не поднимается туннель с шифрованием

 

crypto ipsec transform-set _transformSetN02 esp-aes esp-sha-hmac
mode transport
!
crypto ipsec profile _ipsecProfileN02
set transform-set _transformSetN02
!
!

!
!

!
interface Tunnel0
description DMVPN-A1
bandwidth 10000
ip address 10.0.0.172 255.255.254.0
no ip redirects
ip mtu 1400
ip nhrp authentication test1
ip nhrp summary-map 10.X.X.0/24
ip nhrp network-id 65019001
ip nhrp holdtime 300
ip nhrp nhs 10.0.0.1 nbma A.A.A.A multicast
ip nhrp record
ip summary-address eigrp 65019 10.X.X.0 255.255.255.0
ip tcp adjust-mss 1360
delay 10
qos pre-classify
tunnel source GigabitEthernet0/0
tunnel mode gre multipoint
tunnel key 1234567890
tunnel path-mtu-discovery
tunnel path-mtu-discovery min-mtu 1300
tunnel protection ipsec profile _ipsecProfileN02

 

 

GigabitEthernet0/0 имеет белый адрес. Нешифрованный туннель поднимается, а при шифрованном не удается установить SA:


Oct 7 06:38:02.033: ISAKMP-ERROR: (7195):SA is still budding. Attached new ipsec request to it. (local B.B.B.B, remote A.A.A.A)
Oct 7 06:38:02.033: ISAKMP-ERROR: (0):Error while processing SA request: Failed to initialize SA
Oct 7 06:38:02.033: ISAKMP-ERROR: (0):Error while processing KMI message 0, error 2.

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения
Leonid Voronkin
VIP Collaborator

В конфигурации туннеля на споке после tunnel protection ipsec profile _ipsecProfileN02 нужно аргумент shared добавить

 

 

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

Просмотреть решение в исходном сообщении

5 ОТВЕТ 5
Anton84
Beginner

Interface: Tunnel0
Session status: DOWN-NEGOTIATING
Peer: A.A.A.A port 500
Session ID: 0
IKEv1 SA: local B.B.B.B/500 remote A.A.A.A/500 Inactive
IPSEC FLOW: permit 47 host B.B.B.B host A.A.A.A

Active SAs: 0, origin: crypto map

Sergey Lisitsin
Rising star

Добрый день,

 

покажите пожалуйста конфигурацию крипто с рабочего спока и с проблемного.

goalkeeper
Beginner

 

Туннели без шифрование работает ? 

Спрашивай все что хочешь
goalkeeper
Beginner

здесь прочитай внимательно у меня было такое ошибка, исправил и у меня все заработал 

https://community.cisco.com/t5/%D0%BC%D0%B0%D1%80%D1%88%D1%80%D1%83%D1%82%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F-%D0%B8-%D0%BA%D0%BE%D0%BC%D0%BC%D1%83%D1%82%D0%B0%D1%86%D0%B8%D1%8F/2-isp-dmvpn-vrf-eigrp/td-p/4029639

 

Спрашивай все что хочешь
Leonid Voronkin
VIP Collaborator

В конфигурации туннеля на споке после tunnel protection ipsec profile _ipsecProfileN02 нужно аргумент shared добавить

 

 

________________________________________________________
Если ответ понравился, ставь звёздочку. Если ответ помог решить твою проблему, утверди его в качестве решения

Просмотреть решение в исходном сообщении

Не удалось отобразить этот виджет.