Документ по использованию команд ios для выявлению проблем в IPSec от cisco 5409-ipsec-debug-00.
- debug isakmp – debug crypto isakmp
- debug ipsec – debug crypto ipsec
- Для очистки существующих соединений sa isakmp – clear crypto isakmp sa
- Для очистки sa ipsec – clear crypto ipsec
- Просмотр security association isakmp – show crypto isakmp sa
- Просмотр security association ipsec – show crypto ipsec sa ( возможно указать конкретный peer – show crypto ipsec sa peer XXX.XXX.XXX.XXX)
Если при debug всплывает ошибка “ISAKMP:(1333): processing NOTIFY PROPOSAL_NOT_CHOSEN protocol 3”, то определить возможную причину данной ошибки необходимо на противоположной стороне тунеля, которая является ответчиком, а не инициатором при установлении iPSec. Данная ошибка означает не возможность перехода во вторую фазу(phase 2) установления соединения IPSec. Возможные причины ошибки:
- Proxy ID(ACL), должны совпадать acl листы на обоих концах, точнее они должны быть зеркальны.
- encryption не сопадает
- не совпадает hash
Более подробно можно посмотреть здесь.