我正在对 Cisco ASA VPN 连接进行故障排除,并且需要更多有关某些日志消息含义的信息,特别是目前的这个信息,但有关如何读取这些日志的良好通用资源将是理想的:
在日志级别 7 我可以看到
Group = 1.1.1.1, IP = 1.1.1.1, IKE AM Responder FSM error history (struct &0x3f76598) <state>, <event>: AM_DONE, EV_ERROR-->AM_WAIT_MSG3, EV_PROB_AUTH_FAIL-->AM_WAIT_MSG3, EV_TIMEOUT-->AM_WAIT_MSG3, NullEvent-->AM_SND_MSG2, EV_CRYPTO_ACTIVE-->AM_SND_MSG2, EV_SND_MSG-->AM_SND_MSG2, EV_START_TMR-->AM_SND_MSG2, EV_RESEND_MSG
格式化以便于阅读:
Group = 1.1.1.1, IP = 1.1.1.1,
IKE AM Responder FSM error history (struct &0x3f76598)
<state>, <event>:
AM_DONE,
EV_ERROR-->AM_WAIT_MSG3,
EV_PROB_AUTH_FAIL-->AM_WAIT_MSG3,
EV_TIMEOUT-->AM_WAIT_MSG3,
NullEvent-->AM_SND_MSG2,
EV_CRYPTO_ACTIVE-->AM_SND_MSG2,
EV_SND_MSG-->AM_SND_MSG2,
EV_START_TMR-->AM_SND_MSG2,
EV_RESEND_MSG
这是建立 VPN 时发生的事件的历史记录吗?它是否应该从下到上按事件->结果读取?是否有任何好的文档详细说明如何解释这些日志以排除连接故障?我在搜索中找到的几乎所有内容都是“发布您的配置,我们会找出问题所在”的级别,当查看我们配置的每个人都说“它应该可以工作”时,这并没有帮助 :-)
答案1
看起来两个 VPN 对等体之间出现了丢包的情况。
FSM 意味着有限状态机。
所以您在 IKE AM 的状态机中遇到了错误。为什么?您只需查看错误消息后描述的 FSM 状态(按照您正确的说明从下到上)。
您发送了AM_SND_MSG2( EV_SND_MSG),但没有任何消息,因此您再次发送 ( NullEvent),最后 FSM 因等待AM_WAIT_MSG3远程对等端 (EV_TIMEOUT) 而超时。因此这会触发身份验证问题 ( EV_PROB_AUTH_FAIL),因此出现错误 ( EV_ERROR),最后 FSM 到达其终点 ( AM_DONE)。
所以这意味着您开始与远程对等方通信,但从未得到任何答复。您必须仔细检查两端的配置,并仔细检查所有必要的端口和协议是否已打开。(UDP 端口 500、ESP、HA、UDP 端口 4500,... 取决于您的配置)。
您可能还想检查远程对等点上的调试以查看是否AM_SND_MSG2已收到。
不幸的是,我认为思科没有公布他们的 FSM 是如何工作的,你必须自己了解日志或者询问 TAC 或 SF ;)