Router 3745 與 asa 建ipsec問題
請問版內所有的高手大大們小弟想做一個LAB是Router與ASA建立IPSEC
因為我用Router對Router建立是正常
然後用ASA對ASA建立也是正常沒問題
但Router對ASA時就是會失敗
Router上總是會跳以下錯誤
*Mar1 03:37:49.775: ISAKMP:(0):Notify has no hash. Rejected.
*Mar1 03:37:49.779: ISAKMP (0:0): Unknown Input IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY:state = IKE_I_MM1
R1#
*Mar1 03:37:49.779: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with peer at 10.2.1.2
而asa總是會跳以下錯誤
3Jul 30 201307:03:50713048IP = 10.1.1.2, Error processing payload: Payload ID: 1
但我確定我兩邊選的加密協定都一致了,但還是不知問題在那裡
是否能有大大幫忙解決一下?提供LAB架構圖及R1和ASA的CONFIG
本帖最后由 task 于 2013-7-31 23:23 编辑
看debug信息应该是第一阶段参数不匹配。
IKE Phase 1的group,你配置里Router是默认的。ASA是手动指定为group 2。
Router 3745:
crypto isakmp policy 10
hash md5
authentication pre-share
ASA:
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400
默认情况下,3640的IKE P1 Group是1(3745应该也是),所以有可能是两边IKE P1 group不匹配导致协商失败。你可以尝试将3745的group改为2后再测试一下。
改法:
Router 3745:
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
另外,ASA的这句不需要:
crypto map outside_map 1 set pfs group1
附:
3640默认IKE P1策略:
R1#show crypto isakmp policy
Global IKE policy
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method:Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
第二阶段Router的transform-set也没配置hash算法。把它补上,和ASA一样都是esp-sha-hmac。
crypto ipsec transform-set asa esp-3des esp-sha-hmac
支持楼上的。
哈哈 感謝一樓的大大~~原來是這樣~~我以為預設它們會自動去比對~~
重新再試一次已紿OK了~~
感謝~~ 第一阶段~~有高人指出~
页:
[1]