说明:IPSEC第一阶段总共有2种模式,分为主模式和野蛮模式,野蛮模式一般用于FQDN环境,此章主要讲主模式环境下的排查


主模式状态通过命令show crypto isakmp sa查看,状态机总共有以下4种类型:

0)IKE_IDLE:表示第一阶段建立成功

1)总部没有显示状态机,分支状态为MM_SI1_WR1, MM_SA_SETUP

2)总部状态MM_SR2_WI3, MM_VERIFY,分支状态MM_SI2_WR2, MM_KEY_EXCH

3)总部状态MM_SR2_WI3, MM_VERIFY,分支状态MM_SI3_WR3, MM_KEY_EXCH

4)总部状态为IKE_IDLE,分支状态是 MM_SI3_WR3, MM_VERIFY(分支没开启身份验证)


IPSEC状态机扩展小知识2】IKE第一阶段主模式6个报文状态对应的含义:
①MM表示主模式 ,AG表示快速模式
SI表示发送方发送的报文(I代表分支,S代表发送)
SR表示接收方发起的报文(R代表总部)
④WI表示等待发起方发送的报文(W代表等待)
⑤WR表示等待接收方发送的报文


1、总部没有显示状态机,分支状态为MM_SI1_WR1, MM_SA_SETUP

如果show crypto isakmp sa命令显示此状态,表示分支显示发出了第1个协商报文,正在等待总部第1个回应报文(故障停留在第12个报文)
出现此状态可能原因如下:
1)总部和分支的连通性异常
2)总部的接口没调用crypto map
3)总部和分支的policy策略不匹配
对应解决方案:
1)参见“流表状态定位方法-总部没有收到流表方式”处理
2)总部对应外网口调用crypto map,确保总部VPN配置生效
3)检查总部和分支的policy策略,保证总分部至少有其中一个策略集匹配(设备默认共有7个policy,正常情况下总分部只要匹配上其中一个即可正常建立第一阶段】


2、总部状态MM_SR2_WI3, MM_VERIFY,分支状态MM_SI2_WR2, MM_KEY_EXCH

如果show crypto isakmp sa命令显示此状态,表示分支发送了第2个请求报文,等待总部的第2个回应报文,同时总部发送了第2个回应报文,等待分支第3个请求报文,(故障停留在第34个报文)

出现此状态可能原因如下:
1Show log:提示”Cannot get pre-shared keys for peer”,说明分支预共享密钥没有配置
2)运营商过滤
对应解决方案:
1)分支重新配置预共享密钥

2)联系运营商处理


3、总部状态MM_SR2_WI3, MM_VERIFY,分支状态MM_SI3_WR3, MM_KEY_EXCH
如果show crypto isakmp sa命令显示此状态,表示分支发送了第3个请求报文,等待总部的第3个回应报文,同时总部发送了第2个回应报文,等待分支的第3个请求报文(故障停留在56个报文阶段)
出现此状态可能原因如下:
1)总部和分支预共享密钥不一致
2)运营商环境过滤
对应解决方案:
1)分支打开debug crypto isakmp:日志可以看到“failed its sanity check or is malformed”信息,检查总部和分支的预共享密钥或者重新配置(crypto isakmp key 0/7:0表示加密前的秘钥,7表示加密后的秘钥

2)联系运营商处理


4、总部状态为IKE_IDLE,分支状态是 MM_SI3_WR3, MM_VERIFY(分支没开启身份验证)
如果show crypto isakmp sa命令显示此状态,表示总部已经发送了第3个回应报文,分支收到总部的第3个回应报文后交由出错
出现此状态可能原因如下:
总部配置了FQDN身份验证,分支没开启FQDN
对应解决方案:分支开启FQDN
总部关键配置如下:
self-identity fqdn zongbu     //注释:总部给自己命名为zongbu
crypto isakmp mode-detect     //注释:总部配置为自动协商模式,分支如果是野蛮模式,则总部也为野蛮,完全取决于分支的模式
分支关键配置如下:
crypto isakmp key 7 1235101b400424 hostname zongbu     //注释:分支采用hostname指向总部的名称:zongbu
crypto map Gi0/3 1 ipsec-isakmp
 set peer   zongbu   //注释:分支这里不指定总部的IP地址,而是指定总部的名称:zongbu
 set autoup
 set exchange-mode aggressive                                               //注释:分支建议采用野蛮模式,否则有可能会建立不成功
③说明:总部配置了fqdn,总部在第一阶段协商的时候会携带该id给对端分支,分支在收到该协商报文的时候,会去校验该身份id,这时候就必须去更改分支的配置了,所以必须注意:Web上配置,会提示必须分支配置上对端id,这里的对端id就是总部的fqdn,在新版本中配置上对端id,其默认就会将协商模式更改为野蛮模式