IPSec VPN 错误: IKE Phase-2 协商失败, 因为启动器, 快速模式
311936
Created On 09/25/18 19:43 PM - Last Modified 06/08/23 00:56 AM
Resolution
问题
配置了帕洛阿尔托网络防火墙和来自不同供应商的防火墙之间的站点到站点 IPSec VPN。
阶段1成功, 但阶段2协商失败。
使用 CLI 命令查看 ikemgr.log:
> 尾跟随是 mp 日志 ikemgr.log
显示以下错误:
(说明包含 "收到的 IKE 协议通知消息: 无效-ID-信息 (18)"。
和
IKE phase-2 协商失败, 因为启动器, 快速模式。失败 SA: 216.204.241.93[500]-216.203.80.108[500] 消息 id: 0x43D098BB。由于协商超时
原因
最常见的 phase-2 故障是由于代理 ID 不匹配。
解决办法
要解决代理 ID 不匹配, 请尝试以下操作:
- 检查帕洛阿尔托网络防火墙和另一侧防火墙上的代理 ID 设置。
注意:其他防火墙供应商的代理 ID 可能被称为访问列表或访问控制列表 (ACL). - 另外, 请检查 IPSec 加密以确保建议在双方都匹配。
请参见
有关 IPSec 的详细信息, 请参阅:
IPSec 隧道-和资源列表
所有者: vvasilasco