總部為MSR5660�,分部為F1030,采用主模式建立IPsec VPN����。
1��、首先檢查兩邊的配置��,并沒有發(fā)現(xiàn)問題��。
2��、收集debug信息��,發(fā)現(xiàn)有如下報(bào)錯(cuò)
*Oct 12 09:26:41:494 2018 XX IKE/7/EVENT: -COntext=1; vrf = 0, local = XXX.XXX.XXX.XXX, remote = XXX.XXX.XXX.XXX/500
Notification PAYLOAD_MALFORMED is received.
3��、仔細(xì)觀察總部的所有配置���,發(fā)現(xiàn)有兩個(gè)一模一樣的proposal
ike proposal 1
encryption-algorithm 3des-cbc
#
ike proposal 116
encryption-algorithm 3des-cbc
總部收到分部發(fā)起的協(xié)商報(bào)文時(shí)�����,查看協(xié)商報(bào)文的SA���,會(huì)在本地全局配置中自上而下的尋找能夠匹配到該SA的proposal(并不一定是ike profile內(nèi)調(diào)用的),如果存在兩個(gè)proposal內(nèi)容一致�,分別叫做1�,116,但是ike profile內(nèi)調(diào)用的116����,實(shí)際在響應(yīng)協(xié)商報(bào)文時(shí)設(shè)備會(huì)認(rèn)為ike profile匹配的是proposal 1。在第5�、6個(gè)報(bào)文時(shí)需要對(duì)報(bào)文進(jìn)行解密,此時(shí)會(huì)使用proposal 1進(jìn)行解密���,但是設(shè)備會(huì)發(fā)現(xiàn)ike profile內(nèi)并沒有配置proposal 1�����,從而報(bào)錯(cuò) ��。
4�����、去掉proposal 1之后���,發(fā)現(xiàn)兩邊IKE SA協(xié)商成功�,IPsec正常建立���。
解決方法去掉重復(fù)ike proposal的配置�,確保每個(gè)ike proposal內(nèi)容不一樣���。
