昨天去一个客户那边处理故障,ASA 5505 ,IOS 是比较老的,8.25 版本的,需要配置IPSec VPN 跟对方深信服对接,按照要求基本配置好,但是一直不通,通过debug命令报错
debug crypto isakmp
debug crypto ipsec
报错如下:
ASA1# Sep 03 22:49:22 [IKEv1]: Group = x.x.x.x, IP = x.x.x.x, QM FSM error (P2 struct &0xca213e20, mess id 0xa700e609)!
Sep 03 22:49:22 [IKEv1]: Group = x.x.x.x, IP = x.x.x.x, Removing peer from correlator table failed, no match!
Sep 03 22:49:22 [IKEv1]: Group = x.x.x.x, IP = x.x.x.x, Session is being torn down. Reason: Phase 2 Mismatch
经过对比,发现是两边的感兴趣流不一致,于是ACL 配置感兴趣流一致,重新测试,发现还是不通。
然后重新排障,一一分析两边的配置,发现对方深信服开启了PFS, 关闭后测试正常。 这里提醒一下大家,有些厂家的PFS 是关闭的,有些是开启的,这个参数一定要查,然后感兴趣流最好一致,虽然有些厂家的可以兼容。