如何分析 IKE 第 2 阶段 VPN 状态消息
问题
Description
查看和分析与非活动 IKE 第 2 阶段导致的问题相关的 VPN 状态消息。
症状
IKE 第 2 阶段未处于活动状态。
命令输出未列出 VPN 的远程地址。show security ipsec security-associations
解决方案
排除 IKE 第 2 阶段问题的最佳方法是查看响应方防火墙的 VPN 状态消息。
响应方防火墙是接收隧道设置请求的 VPN 接收方。启动器防火墙是发送初始隧道设置请求的 VPN 的 启动器 端。
使用 CLI 为响应方防火墙上的 VPN 状态日志配置系统日志文件 。 kmd-logs
请参阅 KB10097-如何配置 syslog 以显示 VPN 状态消息。https://kb.juniper.net/InfoCenter/index?page=content&id=KB10097&actp=METADATA启动 VPN 隧道时,将在 中 捕获消息。ldm-logs
使用 CLI 检查第 2 阶段错误消息: show log kmd-logs
示例输出消息:
Message: Jul 10 16:14:30 210-2 kmd[52472]: IKE Phase-2: Failed to match the peer proxy IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.10.0/24), p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=10.10.10.0/24)] for local ip: 2.2.2.1, remote peer ip:2.2.2.2
含义 — 对等设备的代理身份与本地代理身份不匹配。
操作 — 代理 ID 必须与对等方配置的代理 ID 完全相反。请参阅 KB10124 - 如何修复第 2 阶段错误:无法匹配对等代理 ID。
Message: Jul 16 21:14:20 kmd[1456]: IKE Phase-2 Failure: Quick mode - no proposal chosen [spi=cf0f6152, src_ip=4.4.4.4, dst_ip=3.3.3.2] Jul 16 21:14:20 kmd[1456]: KMD_VPN_PV_PHASE2: IKE Phase-2 Failure: Quick mode - no proposal chosen [spi=cf0f6152, src_ip=4.4.4.4, dst_ip=3.3.3.2] Jul 16 21:14:20 kmd[1456]: IKE Phase-2: Negotiations failed. Local gateway: 4.4.4.4, Remote gateway: 3.3.3.2
含义 — 运行 Junos OS 的设备不接受指定 IKE 对等方发送的任何 IKE 第 2 阶段提议。
操作 — 验证本地第 2 阶段 VPN 配置元素。第 2 阶段提案要素包括以下内容:
身份验证算法
加密算法
生命周期千字节
生命周期秒数
协议
完全向前保密
您可以更改本地配置以接受至少一个远程对等方的第 2 阶段提议,或者与远程对等方的管理员联系并安排隧道两端的 IKE 配置至少使用一个双方都能接受的第 2 阶段提议。
示例输出消息:
IPsec proposal mismatch
Message: Sep 7 09:26:57 kmd[1393]: IKE negotiation failed with error: No proposal chosen. IKE Version: 1, VPN: vpn1 Gateway: ike-gw, Local: 10.10.10.1/500, Remote: 10.10.10.2/500, Local IKE-ID: 10.10.10.1, Remote IKE-ID: 10.10.10.2, VR-ID: 0
注:如果 和显示为 ,则为第 1 阶段失败消息。
Local IKE-IDRemote IKE-IDNot-Available请参阅 12.1X44 及更高版本中的 KB30548 - IKE 第 1 阶段 VPN 状态消息。https://kb.juniper.net/InfoCenter/index?page=content&id=KB30548&actp=METADATA操作 — 验证本地第 2 阶段 VPN 配置元素。第 2 阶段提案要素包括以下内容:
身份验证算法
加密算法
生命周期千字节
生命周期秒数
协议
完全向前保密
Proxy-ID mismatch
示例输出消息:
Sep 7 09:23:05 kmd[1334]: IKE Phase-2: Failed to match the peer proxy IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.1.0/24), p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.3.0/24)] for local ip: 10.10.10.2, remote peer ip:10.10.10.1
Sep 7 09:23:05 kmd[1334]: IKE Phase-2: Failed to match the peer proxy IDs [p2_remote_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.1.0/24), p2_local_proxy_id=ipv4_subnet(any:0,[0..7]=192.168.3.0/24)] for local ip: 10.10.10.2, remote peer ip:10.10.10.1
操作 — 代理 ID 必须与对等方配置的代理 ID 完全相反匹配。请参阅 KB10124 - 如何修复第 2 阶段错误:无法匹配对等代理 ID。
如果成功建立 VPN 连接,您可以在系统日志中看到以下消息:
Sep 10 08:35:03 kmd[1334]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.2, Remote gateway: 10.10.10.1, Local ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Direction: inbound, SPI: 0x4b23e914, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Sep 10 08:35:03 kmd[1334]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.2, Remote gateway: 10.10.10.1, Local ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Direction: outbound, SPI: 0xa90982b3, AUX-SPI: 0, Mode: Tunnel, Type: dynamic Sep 10 08:35:03 kmd[1334]: KMD_VPN_UP_ALARM_USER: VPN test_vpn from 10.10.10.1 is up. Local-ip: 10.10.10.2, gateway name: ike-gw, vpn name: vpn1, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: Not-Available, Local IKE-ID: 10.10.10.2, Remote IKE-ID: 10.10.10.1, XAUTH username: Not-Applicable, VR id: 0
Sep 9 06:57:34 kmd[1393]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.1, Remote gateway: 10.10.10.2, Local ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Direction: inbound, SPI: 0xa90982b3, AUX-SPI: 0, Mode: Tunnel, Type: dynamic, Traffic-selector: Sep 9 06:57:34 kmd[1393]: KMD_PM_SA_ESTABLISHED: Local gateway: 10.10.10.1, Remote gateway: 10.10.10.2, Local ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Remote ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24), Direction: outbound, SPI: 0x4b23e914, AUX-SPI: 0, Mode: Tunnel, Type: dynamic, Traffic-selector: Sep 9 06:57:34 kmd[1393]: KMD_VPN_UP_ALARM_USER: VPN test_vpn from 10.10.10.2 is up. Local-ip: 10.10.10.1, gateway name: ike-gw, vpn name: vpn1, tunnel-id: 131073, local tunnel-if: st0.0, remote tunnel-ip: Not-Available, Local IKE-ID: 10.10.10.1, Remote IKE-ID: 10.10.10.2, XAUTH username: Not-Applicable, VR id: 0, Traffic-selector: , Traffic-selector local ID: ipv4_subnet(any:0,[0..7]=192.168.1.0/24), Traffic-selector remote ID: ipv4_subnet(any:0,[0..7]=192.168.3.0/24)ze: 12px;">IPsec Proposal mismatch
如果找不到任何第 2 阶段消息,请继续执行步骤 。4
使用 CLI,查看第 2 阶段提议,并确认配置与对等方配置的第 2 阶段提议匹配: show security ipsec
show security ipsec proposal ipsec-phase2-proposal { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-128-cbc; } policy ipsec-phase2-policy { perfect-forward-secrecy { keys group2; } proposals ipsec-phase2-proposal; } vpn ike-vpn-srx1 { vpn-monitor; ike { gateway gw-srx1; ipsec-policy ipsec-phase2-policy; } }如果问题仍然存在,要向瞻博网络支持团队提交 JTAC 案例,请参阅 客户支持数据收集 ,了解在打开 JTAC 案例之前应收集的数据以帮助进行故障排除。https://www.juniper.net/documentation/en_US/release-independent/junos/topics/task/operational/data-collection-for-jtac.html