IPSec 第 2 阶段协商失败并显示“IKE收到的协议通知消息：收到通知类型 NO_PROPOSAL_CHOSEN" - 阶段 2 中的身份验证不匹配

• VPN 隧道不上或下
• 系统日志显示“IKE收到协议通知消息：收到通知类型 NO_PROPOSAL_CHOSEN”
• 系统日志显示“消息缺少 IDr 负载”
• CLI 在显示不同身份验证算法的两个对等防火墙上显示命令输出（示例：SHA-512对比SHA-256)
• >less mp 日志 ikemgr.log显示“IKEv2 提议不匹配，请检查双方的加密设置。”
• >less mp 日志 ikemgr.log显示“<IKEGateway> 收到未经身份验证的 NO_PROPOSAL_CHOSEN，您可能需要检查IKE设置”
• 阶段 2（IPSec 加密配置文件）中的身份验证不匹配在数据包捕获中是不可见的（除非手动解密 pcap），因此最好只使用CLI命令/手动检查双方的配置以识别和解决这种不匹配的配置

>show vpn tunnel

FW1> show vpn tunnel
TnID Name   Gateway               Local Proxy IP       Ptl:Port   Remote Proxy IP      Ptl:Port   Proposals
1   VPNTunnel10 IKEGatewayTest1   0.0.0.0/0            0:0        0.0.0.0/0            0:0        ESP tunl [DH20][AES192][SHA384] 3600-sec 0-kb

FW2> show vpn tunnel
TnID Name       Gateway          Local Proxy IP       Ptl:Port   Remote Proxy IP      Ptl:Port    Proposals
1   VPNTunnel10 IKEGatewayTest1   0.0.0.0/0            0:0        0.0.0.0/0            0:0        ESP tunl [DH20][AES192][SHA512] 3600-sec 0-kb

系统日志
导航监控 > 系统日志


线鲨
在两者上进行数据包捕获VPN同行并在 Wireshark 中并排打开它们
注意：默认情况下，这不会出现在 Wireshark 中。 您必须拥有来自两者的转储级 ikemgr 日志VPN对等点解密 Wireshark 中的数据包。 这可以使用以下步骤完成这里

ikemgr.log
通过运行以下命令CLI在两个同行

>less mp-log ikemgr.log

2022-06-27 12:10:41 [ERR ]:  Proposal Unmatched.!
2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides.
2022-06-27 12:10:41 [PERR]: no proposal chosen.
2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.

• PAN-OS
• 帕洛阿尔托网络firewall配置了 IPSecVPN隧道

1. 配置双方VPN有一个匹配验证算法

2. 执行一个犯罪
3. 每次运行以下命令几次两个都这VPN同行firewallCLI 让他们重新启动和形成：

>clear vpn ike-sa gateway <name>
>clear vpn ipsec-sa tunnel <name>