IPSec Troubleshooting

Документ по использованию команд ios для  выявлению проблем в IPSec от cisco 5409-ipsec-debug-00.

  • debug isakmp – debug crypto isakmp
  • debug ipsec – debug crypto ipsec
  • Для очистки существующих соединений sa isakmp – clear crypto isakmp sa
  • Для очистки sa ipsec – clear crypto ipsec
  • Просмотр security association isakmp – show crypto isakmp sa
  • Просмотр security association ipsec – show crypto ipsec sa ( возможно указать конкретный peer – show crypto ipsec sa peer XXX.XXX.XXX.XXX)

Если при debug всплывает ошибка “ISAKMP:(1333): processing NOTIFY PROPOSAL_NOT_CHOSEN protocol 3”, то определить возможную причину данной ошибки необходимо на противоположной стороне тунеля, которая является ответчиком, а не инициатором при установлении iPSec. Данная ошибка означает не возможность перехода во вторую фазу(phase 2) установления соединения  IPSec. Возможные причины ошибки:

  • Proxy ID(ACL), должны совпадать acl листы на обоих концах, точнее они должны быть зеркальны.
  • encryption не сопадает
  • не совпадает hash

Более подробно можно посмотреть здесь.

 

Print Friendly, PDF & Email
Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments