总部为MSR5660,分部为F1030,采用主模式建立IPsec VPN。
1、首先检查两边的配置,并没有发现问题。
2、收集debug信息,发现有如下报错
*Oct 12 09:26:41:494 2018 XX IKE/7/EVENT: -COntext=1; vrf = 0, local = XXX.XXX.XXX.XXX, remote = XXX.XXX.XXX.XXX/500
Notification PAYLOAD_MALFORMED is received.
3、仔细观察总部的所有配置,发现有两个一模一样的proposal
ike proposal 1
encryption-algorithm 3des-cbc
#
ike proposal 116
encryption-algorithm 3des-cbc
总部收到分部发起的协商报文时,查看协商报文的SA,会在本地全局配置中自上而下的寻找能够匹配到该SA的proposal(并不一定是ike profile内调用的),如果存在两个proposal内容一致,分别叫做1,116,但是ike profile内调用的116,实际在响应协商报文时设备会认为ike profile匹配的是proposal 1。在第5、6个报文时需要对报文进行解密,此时会使用proposal 1进行解密,但是设备会发现ike profile内并没有配置proposal 1,从而报错 。
4、去掉proposal 1之后,发现两边IKE SA协商成功,IPsec正常建立。
解决方法去掉重复ike proposal的配置,确保每个ike proposal内容不一样。