站点到站点 VPN 使用 MD5 而不是 SHA 并经常断开连接

站点到站点 VPN 使用 MD5 而不是 SHA 并经常断开连接

我们的站点到站点 IPsec VPN 出现了一些奇怪的行为,大约每周都会宕机 30 分钟(我被告知 30 分钟确切地)。

我无法访问日志,因此很难排除故障。

同样奇怪的是,两个 VPN 设备都设置为使用 SHA 哈希算法,但最终显然同意使用 MD5。

有人有线索吗?或者这只是信息不足?


编辑:

以下是两个 VPN 设备之一的日志摘录,它是 Cisco 3000 系列 VPN 集中器。

27981 03/08/2010 10:02:16.290 SEV=4 IKE/41 RPT=16120 xxxxxxxx IKE 发起者:新阶段 1,Intf 2,IKE 对等体 xxxxxxxx 本地代理地址 xxxxxxxx,远程代理地址 xxxxxxxx,SA(L2L:1A)

27983 03/08/2010 10:02:56.930 SEV=4 IKE/41 RPT=16121 xxxxxxxx IKE 发起程序:新阶段 1,Intf 2,IKE 对等体 xxxxxxxx 本地代理地址 xxxxxxxx,远程代理地址 xxxxxxxx,SA(L2L:1A)

27986 03/08/2010 10:03:35.370 SEV=4 IKE/41 RPT=16122 xxxxxxxx IKE 发起者:新阶段 1,Intf 2,IKE 对等体 xxxxxxxx 本地代理地址 xxxxxxxx,远程代理地址 xxxxxxxx,SA(L2L:1A)

[…同样的事情又持续了15分钟…]

28093 03/08/2010 10:19:46.710 SEV=4 IKE/41 RPT=16140 xxxxxxxx IKE 发起程序:新阶段 1,Intf 2,IKE 对等体 xxxxxxxx 本地代理地址 xxxxxxxx,远程代理地址 xxxxxxxx,SA(L2L:1A)

28096 03/08/2010 10:20:17.720 SEV=5 IKE/172 RPT=1291 xxxxxxxx 组 [xxxxxxxx] 自动 NAT 检测状态:远程端不在 NAT 设备后面 此端在 NAT 设备后面

28100 03/08/2010 10:20:17.820 SEV=3 IKE/134 RPT=79 xxxxxxxx 组 [xxxxxxxx] 不匹配:配置的 LAN-to-LAN 建议与协商的建议不同。验证本地和远程 LAN-to-LAN 连接列表。

28103 03/08/2010 10:20:17.820 SEV=4 IKE/119 RPT=1197 xxxxxxxx 组 [xxxxxxxx] 第 1 阶段已完成

28104 03/08/2010 10:20:17.820 SEV=4 AUTH/22 RPT=1031 xxxxxxxx 用户 [xxxxxxxx] 组 [xxxxxxxx] 已连接,会话类型:IPSec/LAN-to-LAN

28106 03/08/2010 10:20:17.820 SEV=4 AUTH/84 RPT=39 LAN 到 LAN 隧道已连接到头端设备 xxxxxxxx

28110 03/08/2010 10:20:17.920 SEV=5 IKE/25 RPT=1291 xxxxxxxx 组 [xxxxxxxx] 在 ID 有效负载中收到远程代理主机数据:地址 xxxxxxxx、协议 0、端口 0

28113 03/08/2010 10:20:17.920 SEV=5 IKE/24 RPT=88 xxxxxxxx 组 [xxxxxxxx] 在 ID 有效负载中收到本地代理主机数据:地址 xxxxxxxx、协议 0、端口 0

28116 03/08/2010 10:20:17.920 SEV=5 IKE/66 RPT=1290 xxxxxxxx 组 [xxxxxxxx] IKE 远程对等体配置为 SA: L2L: 1A

28117 03/08/2010 10:20:17.930 SEV=5 IKE/25 RPT=1292 xxxxxxxx 组 [xxxxxxxx] 在 ID 有效负载中收到远程代理主机数据:地址 xxxxxxxx、协议 0、端口 0

28120 03/08/2010 10:20:17.930 SEV=5 IKE/24 RPT=89 xxxxxxxx 组 [xxxxxxxx] 在 ID 有效负载中收到本地代理主机数据:地址 xxxxxxxx、协议 0、端口 0

28123 03/08/2010 10:20:17.930 SEV=5 IKE/66 RPT=1291 xxxxxxxx 组 [xxxxxxxx] IKE 远程对等体配置为 SA: L2L: 1A

28124 03/08/2010 10:20:18.070 SEV=4 IKE/173 RPT=17330 xxxxxxxx 组 [xxxxxxxx] NAT-Traversal 已成功协商!IPSec 流量将被封装以穿过 NAT 设备。

28127 03/08/2010 10:20:18.070 SEV=4 IKE/49 RPT=17332 xxxxxxxx 组 [xxxxxxxx] LAN 到 LAN 组 (xxxxxxxx) 响应者的安全协商完成,入站 SPI = 0x56a4fe5c,出站 SPI = 0xcdfc3892

28130 03/08/2010 10:20:18.070 SEV=4 IKE/120 RPT=17332 xxxxxxxx 组 [xxxxxxxx] 第 2 阶段已完成 (msgid=37b3b298)

28131 03/08/2010 10:20:18.750 SEV=4 IKE/41 RPT=16141 xxxxxxxx 组 [xxxxxxxx] IKE 发起者:新阶段 2,Intf 2,IKE 对等体 xxxxxxxx 本地代理地址 xxxxxxxx,远程代理地址 xxxxxxxx,SA(L2L:1A)

28135 03/08/2010 10:20:18.870 SEV=4 IKE/173 RPT=17331 xxxxxxxx 组 [xxxxxxxx] NAT-Traversal 已成功协商!IPSec 流量将被封装以穿过 NAT 设备。

相关内容