07
2023
12
00:40:57

huawei IPSEC故障类关键Debugging信息说明



推荐点击下面图片,通过本站淘宝优惠价购买:

image.png

见故障类Debugging信息及处理建议如下图所示。


分别讲解IKEv1、IKEv2各种模式下的故障类打印信息以及解决办法建议。

表1 常见故障类Debugging信息

协商阶段

Debugging信息

描述

可能的异常原因及处理建议

IKEv1主模式协商

发起方重传Send_SA msg

Max transmit reached for Send_SA message (Source:Port = 1.1.1.1:500), (Destination:port =2.1.1.1:500)

本端发送Send_SA消息次数达到最大,但是未收到对端的正确应答。

  1. 对端公地址不可达;

  2. 对端公网地址Ping可达,但是500端口报文不可达,可能公网禁止500端口报文或对端设备未放行500端口服务;

  3. 对端配置的IKE提议与本端不一致;

  4. 对端未应用IPSec策略;

  5. 对端IKE协商版本或模式不匹配。

响应方Recv_SA msg失败

Message from peer 2.1.1.1: dropping Message due to notification type NO_PROPOSAL_CHOSEN

收到对端发送的SA消息,本端校验SA载荷失败,并触发NO_PROPOSAL_CHOSEN通知。

两端ike proposal配置不匹配。当配置相同,两端采用SM4算法时,请确保SM4算法实现标准一致,请在ike peer下确认ipsec sm4 version { draft-standard | standard }配置,默认使用draft-standard标准。

响应方重传Send_SA msg

Max transmit reached for Send_SA message (Source:Port = 1.1.1.1:500), (Destination:port =2.1.1.1:500)

本端作为响应方,接收SA消息正常并正确回应SA,但是对端没有继续协商导致回应SA消息达到最大次数。

  1. 从响应方到发起方方向500端口未放通;

  2. 响应方的应答报文路由不正确。

发起方重传Send_ KE_NONCE msg

Max transmit reached for Send_KE_NONCE message

(Source:Port = 1.1.1.1:500), (Destination:port =2.1.1.1:500)

本端作为发起方,一直在发送Send_KE_NONCE消息,由于没有收到对端的应答报文,本端发送消息次数达到最大。

两端NAT穿越配置不一致。请修改ike peer下nat traversal配置与对端保持一致。

发起方重传Send_ID_AUTH msg

Max transmit reached for Send_ID_AUTH message (Source:Port = 1.1.1.1:500), (Destination:port = 2.1.1.1:500)

Max transmit reached for Send_ID_AUTH message (Source:Port = 1.1.1.16:4500), (Destination:port = 2.1.1.1:4500)

本端作为发起方,一直在发送Send_ID_AUTH消息,由于没有收到对端的应答报文,本端发送消息次数达到最大。

  1. NAT场景下公网未放通端口4500;

  2. pre-shared-key认证方式,两端pre-shared-key不一致;

  3. 两端ID配置不匹配;

  4. rsa-signature认证方式,对端校验证书失败。

响应方Recv_ID_AUTH消息处理失败

Reserved Field in payload 5 is not zero

Invalid Next Payload of Type 23 in Payload Type 5

报文解密后出现载荷头中保留字段非零异常或者出现载荷类型异常。

  1. 采用预共享密钥认证方式时,两端pre-shared-key不匹配。

  2. 受到异常攻击。

Received peer ID: abc, type: FQDN

ERROR - Received remote-name(abc) does not match with peer remote-name(yyy)

接收到对端的ID与本端ike peer下配置的remote-id不匹配。本示例中,对端的ID的类型为FQDN,内容为abc,本端ike peer下配置remote-id-type为FQDN,ID内容yyy。

发起方的local-id-type/local-id与响应方的remote-id-type/remote-id不匹配。

IKEv1野蛮模式协商

发起方重传Send_SA_KE_NONCE_ID_VID消息

Max transmit reached for Send_SA_KE_NONCE_ID_VID message (Source:Port = 1.1.1.1:500), (Destination:port = 2.1.1.1:500)

本端发送Send_SA_KE_NONCE_ID_VID消息次数达到最大,但是未收到对端的正确应答。

  1. 对端公网地址不可达;

  2. 对端公网地址Ping可达,但是500端口报文不可达,可能公网禁止500端口报文或对端设备未放行500端口服务;

  3. 对端配置的IKE提议与本端不一致;

  4. 对端未应用IPSec策略;

  5. 对端IKE协商版本或模式不匹配;

  6. 对端匹配身份ID失败。

响应方Recv_SA_KE_NONCE_ID_VID消息处理失败

ERROR - validate proposal: failure

Message from peer 2.1.1.1: negotiate sa: proposal 1 failed

收到对端发送的SA_KE_NONCE_ID_VID消息,本端校验SA载荷失败。

两端ike proposal配置不匹配。当配置相同,两端采用SM4算法时,请确保SM4算法实现标准一致,请在ike peer下确认ipsec sm4 version { draft-standard | standard }配置,默认使用draft-standard标准。

ERROR - Received remote-name(abc) does not match with peer remote-name(cba)

接收到对端的ID与本端ike peer下配置的remote-id不匹配。本示例中,对端的ID的类型为FQDN,内容为abc,本端ike peer下配置remote-id-type为FQDN,ID内容cba。

本端的local-id/local-id-type与对端的remote-id/remote-id-type不一致。

响应方重传Send_SA_KE_NONCE_ID_VID_

NATD_AUTH消息

IKEv1 receive payloads: SA | KE | ID | NONCE | VENDOR | VENDOR | VENDOR | VENDOR | VENDOR | VENDOR |

Max transmit reached for Send_SA_KE_NONCE_ID_VID_

NATD_AUTH message (Source:Port = 1.1.1.1:500), (Destination:port = 2.1.1.1:500)

本端作为响应方,接收消息正常并正确回应,但是对端没有继续协商导致回应Send_SA_KE_NONCE_ID_

VID_NATD_AUTH消息达到最大次数。

  1. 从响应方到发起方方向500端口未放通;

  2. 响应方的应答报文路由不正确。

发起方Recv_SA_KE_NONCE_

ID_VID_NATD_AUTH处理失败

Message from peer 1.1.1.1: dropping Message due to notification type INVALID_HASH_INFORMATION

接收到SA_KE_NONCE_

ID_VID_NATD_AUTH消息,在pre-shared-key认证方式下,校验HASH载荷失败,并触发INVALID_HASH_

INFORMATION通知。

两端pre-shared-key不一致。

ERROR - Received remote-name(cba@abc.com) does not match with peer remote-name(abc@abc.com)

接收到对端的ID与本端ike peer下配置的remote-id不匹配。本示例中,对端的ID的内容为cba@abc.com,本端ike peer下配置remote-id内容abc@abc.com。

发起方的remote-id/remote-id-type与对端的local-id/local-id-type不一致。

IKEv1快速模式协商

发起方重传Send_HASH_SA_NONCE消息

Max transmit reached for Send_HASH_SA_NONCE message (Source:Port = 1.1.1.1:500), (Destination:port = 2.1.1.1:500)

本端发送Send_HASH_SA_NONCE消息次数达到最大,但是未收到对端的正确应答。

  1. 两端感兴趣流、IPSec提议、PFS算法配置不一致;

  2. 一阶段采用野蛮模式协商时,响应方一阶段IKE SA可能还未建立完成,比如网络存在报文丢包,响应方认证失败等。

响应方Recv_HASH_SA_NONCE消息失败

Message from peer 1.1.1.1: dropping Message due to notification type INVALID_ID_INFORMATION

通过ACL查找IPSec策略失败,并触发了INVALID_ID_INFORMATION通知。

两端ACL非镜像配置,一般存在三种情况:

  1. 两端ACL无交集;

  2. 两端ACL有交集,但是不是包含关系;

  3. 两端ACL是包含关系,ACL范围大的一方是发起方。

Message from peer 1.1.1.1: dropping Message due to notification type NO_PROPOSAL_CHOSEN

收到对端发送的SA载荷,本端IPSec proposal与SA载荷匹配失败,并触发NO_PROPOSAL_CHOSEN通知。

  1. 两端PFS算法配置不一致;

  2. 两端IPSec提议配置不一致;当IPSec提议使用SM4算法时,请确保使用SM4算法的标准一致,请在ike peer下确认ipsec sm4 version { draft-standard | standard }配置,默认是draft-standard标准。

IKEv1协商异常通知消息

阶段一

phase 1 exchange-type 5 step 0

Message from peer 1.1.1.1: Got NOTIFY of type NO_PROPOSAL_CHOSEN

IKEv1协商方式阶段一协商过程收到对端的NO_PROPOSAL_CHOSEN通知消息(对端ike proposal匹配失败)。

两端ike proposal配置不匹配。当配置相同,两端采用SM4算法时,请确保SM4算法实现标准一致,请在ike peer下确认ipsec sm4 version { draft-standard | standard}配置,默认时draft-standard标准。

phase 1 exchange-type 5 step 0

Message from peer 1.1.1.1: Got NOTIFY of type PAYLOAD_MALFORMED

IKEv1协商方式阶段一协商过程收到对端的PAYLOAD_MALFORMED通知消息。

  1. 采用预共享密钥认证方式时,两端pre-shared-key不匹配。

  2. 受到异常报文攻击。

阶段二(快速模式)

Message from peer 1.1.1.1: Got NOTIFY of type INVALID_ID_INFORMATION

接收到对端的INVALID_ID_INFORMATION通知消息。

对端匹配ACL失败。一般是两端ACL非镜像配置,存在三种情况:

  1. 两端ACL无交集;

  2. 两端ACL有交集,但是不是包含关系;

  3. 两端ACL是包含关系,ACL范围大的一方是发起方。

Message from peer 1.1.1.1: Got NOTIFY of type NO_PROPOSAL_CHOSEN

接收到对端的NO_PROPOSAL_CHOSEN通知消息。

  1. 两端PFS算法配置不一致;

  2. 两端IPSec提议配置不一致,当IPSec提议使用SM4算法时,请确保使用SM4算法的标准一致,请在ike peer下确认ipsec sm4 version { draft-standard | standard }配置,默认是draft-standard标准。

  3. 当与第三方对接时,可能是两端感兴趣流不匹配导致的。

IKEv2协商

发起方重传IKE_SA_INIT_Request消息

Max transmit reached for IKE_SA_INIT_Request message (Source:Port = 1.1.1.1:500), (Destination:port = 2.1.1.1:500)

本端发送IKE_SA_INIT_Request消息次数达到最大,但是未收到对端的正确应答。

  1. 对端公地址不可达;

  2. 对端公网地址Ping可达,但是500端口报文不可达,可能公网禁止500端口报文或对端设备未放行500端口服务;

  3. 对端配置的IKE提议与本端不一致;

  4. 对端未应用IPSec策略;

  5. 对端IKE协商版本或模式不匹配。

响应方IKE_SA_INIT request消息处理失败

IKEv2 Responder start IKE_SA_INIT exchange.

No proposal can be chosen

响应方接收IKE_SA_INIT request消息,SA载荷与本端配置的ike proposal不匹配。

两端的ike proposal配置不一致。

发起方重传IKE_AUTH request消息(或者收不到IKE_AUTH response)

IKEv2 send IKE_AUTH_Request msg (Source:Port = 1.1.1.1:500),(Destination:port = 2.1.1.1:500) Tx 1 times

后续无IKE_AUTH response接收。

Max transmit reached for IKE_AUTH_Request message (Source:Port = 1.1.1.1:4500), (Destination:port = 2.1.1.1:4500)

发起方一直在发送IKE_AUTH_Request消息,但是没有接收到正确的应答报文,导致报文发送次数达到最大。

  1. 对端处理IKE_AUTH requst消息失败,一般是IPSec安全提议不匹配,或者感兴趣流不匹配导致。

  2. 对于NAT穿越场景,可能是可能公网禁止4500端口报文或对端设备未放行4500端口服务。

响应方IKE_AUTH request消息处理失败

IKEv2 receive message from 1.1.1.1: Exchange type: IKE_AUTH, Message ID: 1, Packet contents: ...

No proposal can be chosen

SA negotiation for CHILD SA Failed

响应方收到IKE_AUTH request消息,SA载荷与本端IPSec proposal匹配失败。

两端IPSec proposal配置不一致。

Authentication failed for the peer 1.1.1.1

Processing AUTH Payload Failed

响应方收到IKE_AUTH request消息,校验认证载荷失败。

  1. 使用预共享密钥协商时,两端pre-shared-key不一致;

  2. 使用证书协商时,可能是证书失效、证书链不完整、本地/CA证书导入错误(本地证书导入到CA,CA证书导入到本地)或未导入、密钥对不存在或与证书不匹配、两端签名hash算法不一致、两端encryption-padding或signature-padding方式不一致等。

IKEv2 receive message from 1.1.1.1: Exchange type: IKE_AUTH, Message ID: 1, Packet contents:..

Received peer ID: 10.10.10.10, type: FQDN.

Peer ID does not match with configured remote-id 87.

响应方收到IKE_AUTH request消息,校验ID失败。本示例中,对端的local-id-type为FQDN,内容为10.10.10.10,本端ike peer下配置的remote-id-type为FQDN,内容为87。

发起发的local-id-type/local-id与响应方的remote-id-type/remote-id配置不一致。

Get IPSec policy: get IPsec policy failed. Error Code - 3.

Sending unacceptable traffic-selectors for CHILD SA - Connection ID - 50335380

Processing TS Payload Failed

IKEv2协商时ACL通过TS载荷封装,通过ACL查找IPSec策略失败。

两端ACL配置非镜像,包含两种情况:

  1. 两端ACL无交集;

  2. 两端ACL有交集,但是触发协商的流量不属于交集部分。

响应方处理CREATE_CHILD_SA request消息失败

IKEv2 receive message from 1.1.1.1: Exchange type: CREATE_CHILD_SA, Message ID: 4, Packet contents: ...

IKEv2 Responder start CREATE_CHILD_SA exchange.

No proposal can be chosen

响应方接收到CREATE_CHILD_SA request消息,匹配PFS失败(由于IKE_AUTH交换已经成功,说明IPSec proposal已经匹配成功)。

两端PFS配置不一致。

IKEv2异常通知消息


Exchange type: IKE_SA_INIT, Message ID: 0, Packet contents: ...

Processing Notify payload: NO_PROPOSAL_CHOSEN

Proposal mismatch message received from the end

IKE_SA_INIT协商阶段收到对端NO_PROPOSAL_CHOSEN通知消息。

两端的ike proposal配置不一致。

IKEv2 receive message from 1.1.1.1: Exchange type: IKE_AUTH, Message ID: 1, Packet contents: ...

Processing Notify payload: NO_PROPOSAL_CHOSEN

Proposal mismatch message received from the end

IKE_AUTH协商阶段收到对端NO_PROPOSAL_CHOSEN通知消息。

两端IPSec proposal配置不一致。

IKEv2 receive message from 1.1.1.1: Exchange type: CREATE_CHILD_SA, Message ID: 72, Packet contents: ...

Processing Notify payload: NO_PROPOSAL_CHOSEN

Proposal mismatch message received from the end

CREATE_CHILD_SA协商阶段接收到对端NO_PROPOSAL_CHOSEN通知消息。

两端PFS配置不一致。

Processing Notify payload: AUTHENTICATION_FAILED

Authentication_failed message received from the end

IKE_AUTH协商阶段接收到对端AUTHENTICATION_FAILED通知消息(对端出现认证失败错误)。

  1. 使用预共享密钥协商时,两端pre-shared-key不一致;

  2. 使用证书协商时,可能是证书失效、证书链不完整、本地/CA证书导入错误(本地证书导入到CA,CA证书导入到本地)或未导入、密钥对不存在或与证书不匹配、两端签名hash算法不一致、两端encryption-padding或signature-padding方式不一致等。

  3. 发起方的local-id-type/local-id与响应方的remote-id-type/remote-id配置不一致。

IKEv2 receive message from 1.1.1.1: Exchange type: IKE_AUTH, Message ID: 1, Packet contents: ...

Processing Notify payload: TS_UNACCEPTABLE

Acl mismatch message received from the end

IKE_AUTH协商阶段接收到对端TS_UNACCEPTABLE通知消息(对端出现感兴趣流不匹配错误)。

对端发生ACL不匹配错误。两端ACL配置非镜像,包含两种情况:

  1. 两端ACL无交集;

  2. 两端ACL有交集,但是触发协商的业务流量不属于交集部分。

IKEv2 receive payloads: DELETE

接收到对端发送的IKE SA删除消息。

对端IKE SA状态异常,请在对端分析。


本文链接:https://www.hqyman.cn/post/4651.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:





休息一下,本站随机推荐观看栏目:


作者:hqy | 分类:Network | 浏览:484 | 评论:0
« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

您的IP地址是: