取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

December 2020

62
查看次数
0
有帮助
4
回复
Translator
Community Manager

IPSec VPN 删除 SA 原因"重传输死亡 P1"状态 (I) MM_NO_STATE (同行 10.126.253.69)

我面临 Ipsec Vpn 隧道的一些问题。在思科 ISR4331 路由器和思科 ASR1001-X 之间创建的 VPN。

我得到 Ph - 1 上来, 并得到删除。错误"MM_NO_STATE - 活动(已删除)"

当我在 ASR1001-X 路由器上运行调试时,发现以下错误并查找连接的所有调试日志

3月25日 21:19:42: ISAKMP: (0):重递第一阶段MM_SA_SETUP...

3月25日 21:19:42: ISAKMP: (0) :p人不做偏执的守护者。

3月25日 21:19:42: ISAKMP 错误: (0) :d缓解 SA 原因"通过重传输死亡 P1"状态 (R) MM_SA_SETUP (同行 10.126.253.69)

3月25日 21:19:42: ISAKMP 错误: (0) :d缓解 SA 原因"通过重传输死亡 P1"状态 (R) MM_SA_SETUP (同行 10.126.253.69)

3月25日 21:19:42: ISAKMP: (0) :D放过未经许可的萨

3月25日 21:19:42: ISAKMP: (0):解锁对等结构0x7FC1B38B8498 isadb_mark_sa_deleted(),计数 0

3 月 25 日 21:19:42: ISAKMP: (0) :D为未经授权的 sa 提供同行指示

3月25日 21:19:42: ISAKMP: (0) peer_reap的同侪节点为 10.126.253.69: 7FC1B38B8498

3月25日 21:19:42: ISAKMP: (0):输入 = IKE_MESG_INTERNAL,IKE_PHASE1_DEL

3月25日 21:19:42: ISAKMP: (0):旧州 = 新州IKE_R_MM2 = IKE_DEST_SA

3月25日 21:19:49: ISAKMP: (0):重递第一阶段MM_NO_STATE...

3 月 25 日 21:19:49: ISAKMP: (0):sa 上的增量错误计数器,尝试 5 中的 1:重递阶段 1

3月25日 21:19:49: ISAKMP: (0):重递第一阶段MM_NO_STATE

3月25日 21:19:49: ISAKMP-PAK: (0): 发送包到 10.126.253.69 my_port 500 peer_port 500 (I) MM_NO_STATE

3月25日 21:19:49: ISAKMP: (0):发送艾克IPv4包。

3 月 25 日 21:19:51: ISAKMP-PAK: (0):从 10.126.253.69 dport 500 运动 500 ewan-vpn (R) 接收包MM_SA_SETUP

3 月 25 日 21:19:51: ISAKMP: (0) :p有 1 包是前一个包的副本。

3月25日 21:19:51: ISAKMP: (0):由于重递第 1 阶段而重新传输

3月25日 21:19:52: ISAKMP: (0):重递第一阶段MM_SA_SETUP...

3 月 25 日 21:19:52: ISAKMP: (0): sa 上的增量错误计数器, 尝试 5 中的 1: 重递阶段 1

3月25日 21:19:52: ISAKMP: (0):重递第一阶段MM_SA_SETUP

3月25日 21:19:52: ISAKMP-PAK: (0): 发送包到 10.126.253.69 my_port 500 peer_port 500 (R) MM_SA_SETUP

3月25日 21:19:52: ISAKMP: (0):发送艾克IPv4包。

3月25日 21:19:59: ISAKMP: (0):重递第一阶段MM_NO_STATE...

3 月 25 日 21:19:59: ISAKMP: (0): sa 上的增量错误计数器, 尝试 5 中的 2: 重递阶段 1

3月25日 21:19:59: ISAKMP: (0):重递第一阶段MM_NO_STATE

3月25日 21:19:59: ISAKMP-PAK: (0): 发送包到 10.126.253.69 my_port 500 peer_port 500 (I) MM_NO_STATE

3 月 25 日 21:19:59: ISAKMP: (0):发送 IKE IPv4 包。

3月25日 21:20:01: ISAKMP-PAK: (0):收到包从 10.126.253.69 dport 500 运动 500 ewan-vpn (R) MM_SA_SETUP

3 月 25 日 21:20:01: ISAKMP: (0) :p有 1 包是前一个包的副本。

3月25日 21:20:01: ISAKMP: (0):由于重递阶段 1 而重新传输

3月25日 21:20:02: ISAKMP: (0):重递第一阶段MM_SA_SETUP...

3 月 25 日 21:20:02: ISAKMP: (0): sa 上的增量错误计数器, 尝试 5 中的 2: 重递阶段 1

3月25日 21:20:02: ISAKMP: (0):重递第一阶段MM_SA_SETUP

3月25日 21:20:02: ISAKMP-PAK: (0): 发送包到 10.126.253.69 my_port 500 peer_port 500 (R) MM_SA_SETUP

3月25日 21:20:02: ISAKMP: (0):发送艾克IPv4包。

3月25日 21:20:09: ISAKMP: (0):设置新节点 0 到 QM_IDLE

3月25日 21:20:09: ISAKMP 错误: (0):SA 仍在萌芽。附加新的 ipsec 请求到它。(本地 203.13.114.4, 远程 10.126.253.69)

3 月 25 日 21:20:09: ISAKMP 错误: (0):处理 SA 请求时的错误:未能初始化 SA

3月25日 21:20:09: ISAKMP: (0):重递第一阶段MM_NO_STATE...

3 月 25 日 21:20:09: ISAKMP: (0):sa 上的增量错误计数器,尝试 5 中的 3:重递阶段 1

3月25日 21:20:09: ISAKMP: (0):重递第一阶段MM_NO_STATE

3月25日 21:20:09: ISAKMP-PAK: (0): 发送包到 10.126.253.69 my_port 500 peer_port 500 (I) MM_NO_STATE

3月25日 21:20:09: ISAKMP: (0):发送艾克IPv4包。

3 月 25 日 21:20:11: ISAKMP-PAK: (0):从 10.126.253.69 dport 500 运动 500 ewan-vpn (R) 接收包MM_SA_SETUP

3 月 25 日 21:20:11: ISAKMP: (0) :p有 1 包是前一个包的副本。

3月25日 21:20:11: ISAKMP: (0):由于重递第 1 阶段而重新传输

3月25日 21:20:12: ISAKMP: (0):重递第一阶段MM_SA_SETUP...

3 月 25 日 21:20:12: ISAKMP: (0): sa 上的增量错误计数器, 尝试 5 中的 3: 重递阶段 1

3月25日 21:20:12: ISAKMP: (0):重递第一阶段MM_SA_SETUP

3月25日 21:20:12: ISAKMP-PAK: (0): 发送数据包至 10.126.253.69 my_port 500 peer_port 500 (R) MM_SA_SETUP

3月25日 21:20:12: ISAKMP: (0):发送艾克IPv4包。

3月25日 21:20:19: ISAKMP: (0):重递第一阶段MM_NO_STATE...

3 月 25 日 21:20:19: ISAKMP: (0):sa 上的增量错误计数器,尝试 5 中的 4:重递阶段 1

3月25日 21:20:19: ISAKMP: (0):重递第一阶段MM_NO_STATE

3月25日 21:20:19: ISAKMP-PAK: (0): 发送包到 10.126.253.69 my_port 500 peer_port 500 (I) MM_NO_STATE

3 月 25 日 21:20:19: ISAKMP: (0):发送 IKE IPv4 包。

3 月 25 日 21:20:21: ISAKMP-PAK: (0):从 10.126.253.69 dport 500 运动 500 ewan-vpn (R) 接收包MM_SA_SETUP

3 月 25 日 21:20:21: ISAKMP: (0) :p有 1 包是前一个包的复制。

3月25日 21:20:21: ISAKMP: (0):由于重递第 1 阶段而重新传输

3月25日 21:20:22: ISAKMP: (0):重递第一阶段MM_SA_SETUP。

3 月 25 日 21:20:22: ISAKMP: (0):sa 上的增量错误计数器,尝试 5 中的 4:重递阶段 1

3月25日 21:20:22: ISAKMP: (0):重递第一阶段MM_SA_SETUP

3月25日 21:20:22: ISAKMP-PAK: (0): 发送包到 10.126.253.69 my_port 500 peer_port 500 (R) MM_SA_SETUP

3 月 25 日 21:20:22: ISAKMP: (0):发送 IKE IPv4 包。

3月25日 21:20:28: ISAKMP: (0) 3684507416

3月25日 21:20:28: ISAKMP: (0) 2547109587

3月25日 21:20:29: ISAKMP: (0):重递第一阶段MM_NO_STATE...

3 月 25 日 21:20:29: ISAKMP: (0):sa 上的增量错误计数器,尝试 5 中的 5:重递阶段 1

3月25日 21:20:29: ISAKMP: (0):重递第一阶段MM_NO_STATE

3月25日 21:20:29: ISAKMP-PAK: (0): 发送包到 10.126.253.69 my_port 500 peer_port 500 (I) MM_NO_STATE

3 月 25 日 21:20:29: ISAKMP: (0):发送 IKE IPv4 包。

3 月 25 日 21:20:31: ISAKMP-PAK: (0):从 10.126.253.69 dport 500 运动 500 ewan-vpn (R) 接收包MM_SA_SETUP

3 月 25 日 21:20:31: ISAKMP: (0) :p有 1 包是前一个包的副本。

3月25日 21:20:31: ISAKMP: (0):由于重递阶段 1 而重新传输

3月25日 21:20:32: ISAKMP: (0):重递第一阶段MM_SA_SETUP...

3 月 25 日 21:20:32: ISAKMP: (0):sa 上的增量错误计数器,尝试 5 中的 5:重递阶段 1

3月25日 21:20:32: ISAKMP: (0):重递第一阶段MM_SA_SETUP

3月25日 21:20:32: ISAKMP-PAK: (0): 发送包到 10.126.253.69 my_port 500 peer_port 500 (R) MM_SA_SETUP

3月25日 21:20:32: ISAKMP: (0):发送艾克IPv4包。

3月25日 21:20:38: ISAKMP: (0) :p兴 SA., sa=7FC1A6B21CD0, 德尔梅+7FC1A6B21CD0

3月25日 21:20:39: ISAKMP: (0):重递第一阶段MM_NO_STATE...

3月25日 21:20:39: ISAKMP: (0) :p人不做偏执狂。

3月25日 21:20:39: ISAKMP-错误: (0) :d缓解SA原因"通过转播死亡P1"状态 (I) MM_NO_STATE(同行 10.126.253.69)

3月25日 21:20:39: ISAKMP-错误: (0) :d缓解SA原因"通过转播死亡P1"状态 (I) MM_NO_STATE(同行 10.126.253.69)

3月25日 21:20:39: ISAKMP: (0):解锁对等结构0x7FC1B32B68B0 isadb_mark_sa_deleted(),计数 0

3月25日 21:20:39: ISAKMP: (0) peer_reap的同侪节点为 10.126.253.69: 7FC1B32B68B0

3月25日 21:20:39: ISAKMP: (0) :d个引人入胜的节点1024521642错误错误错误原因 "IKE 已删除"

3月25日 21:20:39: ISAKMP: (0) :d个引人入胜的节点2934222722错误错误错误原因 "IKE 已删除"

3月25日 21:20:39: ISAKMP: (0):输入 = IKE_MESG_INTERNAL,IKE_PHASE1_DEL

3月25日 21:20:39: ISAKMP: (0):旧州 = 新州IKE_I_MM1 = IKE_DEST_SA

1 个已接受解答

已接受的解答
Translator
Community Manager

, 萨钦,

从 ##ISP 路由器侧,您有配置不匹配:
你有
接口回路52
然而
接口隧道2045011
隧道源 循环52
你应该改到
隧道源 回路52

在原帖中查看解决方案

4 条回复4
Translator
Community Manager

如果您符合 PFS 组值,请仔细检查您的侧面和远程端。

Translator
Community Manager

嗨, 谢拉兹, 谢谢你回复我的帖子。

我已经验证了两个端配置。没有看到任何问题。 请找到下面的ISP和远程端配置

##ISP路由器

!
!
加密是卡坎普策略 10
encr aes 256
认证预共享
第 5 组
终身 3600
加密钥匙圈 ewan - vpn vrf ewan - vpn
预共享密钥地址 10.126.253.69 键 XXXXXXXXXX
!
加密 ipsec 转换集 ts - 外网 - vti esp - aes 256 埃斯皮沙 - 赫马克
模式隧道
!
!
加密 ipsec 配置文件 ipsec - 外网
设置变换集 ts - 外网 - vti
设置反向路线距离 255
!
接口回路52
描述回路为 ewan - vpn Vrf
ip vrf 转发 ewan - vpn
ip 地址 203.13.114.4 255.255.255.255
!
接口隧道2045011
描述 IPSEC 隧道到班加罗尔图 2071
ip 未计数循环 56
ip 虚拟重新组装
ip tcp 调整 - mss 1387
隧道源循环52
隧道模式 ipsec ipv4
隧道目的地 10.126.253.69
隧道 vrf ewan - vpn
ip vrf 转发 vti 半信任
隧道保护 ipsec 配置文件 ipsec - 外网
服务政策输出形状-5mbps-移动
!

------------------------------------------------------------------------------------------


##Remote端路由器

加密是卡坎普策略 10
加密 aes 256
认证预共享
第 5 组
终身 3600
加密是坎普键 XXXXXXXX 地址 203.13.114.4
加密是卡坎普保持 10
!
!
加密 ipsec 转换集 optus - ts esp - aes 256 埃斯皮沙 - 赫马克
模式隧道
!
!
加密 ipsec 配置文件 optus - ipsec
设置变换集选择- ts

接口回路 0
描述数据和 bgp 对等的回路
ip 地址 10.240.176.238 255.255.255
!
接口回路 65100
描述 Optus VTI 隧道终止回路
ip 地址 10.126.253.69 255.255.255
!
接口隧道2031
描述 IPSEC 隧道到 CHOC EO2KYGZAT01 Tu3010011
ip 未数千兆特热网 0/0/1
ip tcp 调整 - mss 1387
隧道源回路65100
隧道模式 ipsec ipv4
隧道目的地 203.13.114.4
隧道保护 ipsec 配置文件 optus - ipsec
ip 虚拟重新组装
!
接口千兆醚网0/0/0
ip 地址 115.31.251.254 255.255.252
谈判汽车
!
接口千兆醚网0/0/1
ip 地址 10.10.16.2 255.255.248.0
谈判汽车
!

ip tftp 源接口千兆醚网 0
ip 路线 0.0.0.0 0.0.0 115.31.251.253
ip 路线 0.0.0.0 0 0.0 隧道 2031 名称默认到optus_via_tunnel2031
ip 路线 10.10.16.0 255.255.248.0 10.10.16.13
ip 路线 10.10.24.0 255.255.248.0 10.10.16.13
ip 路线 203.13.114.4 255.255.255 115.31.251.253 名称 EO2KYGZAT01-循环 52
!

Translator
Community Manager

萨奇纳希尔 9605 6

对不起, 迟到的答复。调查您的配置和调试, 我注意到我们只看到 "MM_SA_SETUP",意思是"同行们已经就ISAKMP SA的参数达成一致了。" 然而,我们没有看到任何其他ISAKMP参数。 好像 UDP 500 从这个路由器单向下降到远程对等的路径。你也可以调试远程站点, 并检查你在另一端看到什么。

您能否显示两侧的"显示加密 isakmp sa 细节"的外侧放,并且您也可以启用/封装路由器上的包在一端或两端。

访问列表 CAP-ACL

允许 ip 主机 x.x.x. x ip y. y. y

监视器捕获我的帽访问列表 CAP-ACL

监视器捕获我的帽限制持续时间 1000

监视器捕获我的帽接口回路 52 两者

监视器捕获我的帽缓冲圆形大小 100
监视器捕获我的帽开始
监视器捕获我的帽出口 tftp://192.168.x.x/mycap.pcap
监视器捕获我的帽停止

Translator
Community Manager

, 萨钦,

从 ##ISP 路由器侧,您有配置不匹配:
你有
接口回路52
然而
接口隧道2045011
隧道源 循环52
你应该改到
隧道源 回路52

在原帖中查看解决方案