我们在使用站点到站点 IPsec VPN 时遇到一些奇怪的行为,该 VPN 每周都会关闭 30 分钟(我准确地说是30 分钟)。
我无权访问日志,因此很难进行故障排除。
同样奇怪的是,这两个 VPN 设备被设置为使用 SHA 哈希算法,但显然最终同意使用 MD5。
有人有线索吗?或者这只是信息不足?
编辑:
这是两个 VPN 设备之一的日志摘录,它是 Cisco 3000 系列 VPN 集中器。
27981 03/08/2010 10:02:16.290 SEV=4 IKE/41 RPT=16120 xxxxxxxx IKE 发起者:新阶段 1,Intf 2,IKE Peer xxxxxxxx 本地代理地址 xxxxxxxx,远程代理地址 xxxxxxxx,SA (L2L: 1A)
27983 03/08/2010 10:02:56.930 SEV=4 IKE/41 RPT=16121 xxxxxxxx IKE 发起者:新阶段 1,Intf 2,IKE Peer xxxxxxxx 本地代理地址 xxxxxxxx,远程代理地址 xxxxxxxx,SA (L2L: 1A)
27986 03/08/2010 10:03:35.370 SEV=4 IKE/41 RPT=16122 xxxxxxxx IKE 发起者:新阶段 1,Intf 2,IKE Peer xxxxxxxx 本地代理地址 xxxxxxxx,远程代理地址 xxxxxxxx,SA (L2L: 1A)
[……同样的情况又持续了 15 分钟……]
28093 03/08/2010 10:19:46.710 SEV=4 IKE/41 RPT=16140 xxxxxxxx IKE 发起者:新阶段 1,Intf 2,IKE Peer xxxxxxxx 本地代理地址 xxxxxxxx,远程代理地址 xxxxxxxx,SA (L2L: 1A)
28096 03/08/2010 10:20:17.720 SEV=5 IKE/172 RPT=1291 xxxxxxxx 组 [xxxxxxxx] 自动 NAT 检测状态:远程端不在 NAT 设备后面 此端在 NAT 设备后面
28100 03/08/2010 10:20:17.820 SEV=3 IKE/134 RPT=79 xxxxxxxx 组 [xxxxxxxx] 不匹配:配置的 LAN 到 LAN 提议与协商提议不同。验证本地和远程 LAN 到 LAN 连接列表。
28103 03/08/2010 10:20:17.820 SEV=4 IKE/119 RPT=1197 xxxxxxxx 组 [xxxxxxxx] 第一阶段完成
28104 03/08/2010 10:20:17.820 SEV=4 AUTH/22 RPT=1031 xxxxxxxx 用户 [xxxxxxxx] 组 [xxxxxxxx] 已连接,会话类型:IPSec/LAN-to-LAN
28106 03/08/2010 10:20:17.820 SEV=4 AUTH/84 RPT=39 LAN 到 LAN 隧道到头端设备 xxxxxxxx 已连接
28110 03/08/2010 10:20:17.920 SEV=5 IKE/25 RPT=1291 xxxxxxxx 组 [xxxxxxxx] 在 ID 有效负载中收到远程代理主机数据:地址 xxxxxxxx,协议 0,端口 0
28113 03/08/2010 10:20:17.920 SEV=5 IKE/24 RPT=88 xxxxxxxx 组 [xxxxxxxx] 在 ID 有效负载中收到本地代理主机数据:地址 xxxxxxxx,协议 0,端口 0
28116 03/08/2010 10:20:17.920 SEV=5 IKE/66 RPT=1290 xxxxxxxx 组 [xxxxxxxx] 为 SA 配置的 IKE 远程对等体:L2L:1A
28117 03/08/2010 10:20:17.930 SEV=5 IKE/25 RPT=1292 xxxxxxxx 组 [xxxxxxxx] 在 ID 有效负载中收到远程代理主机数据:地址 xxxxxxxx,协议 0,端口 0
28120 03/08/2010 10:20:17.930 SEV=5 IKE/24 RPT=89 xxxxxxxx 组 [xxxxxxxx] 在 ID 有效负载中收到本地代理主机数据:地址 xxxxxxxx,协议 0,端口 0
28123 03/08/2010 10:20:17.930 SEV=5 IKE/66 RPT=1291 xxxxxxxx 组 [xxxxxxxx] 为 SA 配置的 IKE 远程对等体:L2L:1A
28124 03/08/2010 10:20:18.070 SEV=4 IKE/173 RPT=17330 xxxxxxxx 组 [xxxxxxxx] NAT 遍历成功协商!IPSec 流量将被封装以通过 NAT 设备。
28127 03/08/2010 10:20:18.070 SEV=4 IKE/49 RPT=17332 xxxxxxxx 组 [xxxxxxxx] LAN 到 LAN 组 (xxxxxxxx) 响应者的安全协商完成,入站 SPI = 0x56a4fe5c,出站 SPI = 0xcdfc3892
28130 03/08/2010 10:20:18.070 SEV=4 IKE/120 RPT=17332 xxxxxxxx 组 [xxxxxxxx] 阶段 2 已完成 (msgid=37b3b298)
28131 03/08/2010 10:20:18.750 SEV=4 IKE/41 RPT=16141 xxxxxxxx 组 [xxxxxxxx] IKE 发起方:新阶段 2,Intf 2,IKE 对等方 xxxxxxxx 本地代理地址 xxxxxxxx,远程代理地址 xxxxxxxx,SA( L2L:1A)
28135 03/08/2010 10:20:18.870 SEV=4 IKE/173 RPT=17331 xxxxxxxx 组 [xxxxxxxx] NAT 遍历成功协商!IPSec 流量将被封装以通过 NAT 设备。
0 个回答