我正在对思科ASA VPN连接进行故障排除,而且我还了解了一些日志消息的含义,特别是目前的这个消息,但是关于如何读取这些日志的一个很好的常规资源将是理想的:
在日志级别7我可以看到
Group = 1.1.1.1, IP = 1.1.1.1, IKE AM Responder FSM error history (struct &0x3f76598) <state>, <event>: AM_DONE, EV_ERROR-->AM_WAIT_MSG3, EV_PROB_AUTH_FAIL-->AM_WAIT_MSG3, EV_TIMEOUT-->AM_WAIT_MSG3, NullEvent-->AM_SND_MSG2, EV_CRYPTO_ACTIVE-->AM_SND_MSG2, EV_SND_MSG-->AM_SND_MSG2, EV_START_TMR-->AM_SND_MSG2, EV_RESEND_MSG 格式化以提高可读性:
Group = 1.1.1.1, IP = 1.1.1.1, IKE AM Responder FSM error history (struct &0x3f76598) <state>, <event>: AM_DONE, EV_ERROR-->AM_WAIT_MSG3, EV_PROB_AUTH_FAIL-->AM_WAIT_MSG3, EV_TIMEOUT-->AM_WAIT_MSG3, NullEvent-->AM_SND_MSG2, EV_CRYPTO_ACTIVE-->AM_SND_MSG2, EV_SND_MSG-->AM_SND_MSG2, EV_START_TMR-->AM_SND_MSG2, EV_RESEND_MSG
这是build立和VPN发生的事件的历史,是否意味着被视为事件 – >结果,从下到上? 是否有任何良好的文件详细说明如何解释这些日志排除连接故障? 在我的search中,几乎所有可以find的东西都是“发布你的configuration,我们会发现什么是错误的”级别的,当看到我们configuration的eveyone说“它应该工作”时,这并没有帮助:-)
似乎你有一些丢弃数据包之间的VPN对端。
FSM意味着有限状态机 。
所以你在IKE AM的状态机中出错了。 为什么? 您只需要看到错误消息(从正确的底部到顶部)之后的FSM状态。
您发送了AM_SND_MSG2 ( EV_SND_MSG ),没有任何内容正在传送,所以您再次发送它( NullEvent ),最后通过等待来自远程对等方(AM_WAIT_MSG3)的FSM超时(EV_TIMEOUT)。 所以这触发了authentication问题( EV_PROB_AUTH_FAIL ),所以错误( EV_ERROR )和最后的FSM到达结束( AM_DONE )。
所以这意味着你开始与远端对等进行通信,但是从来没有得到任何答案。 你必须仔细检查两端的configuration,并仔细检查所有必要的端口和协议是否打开。 (UDP端口500,ESP,HA,UDP端口4500,…取决于您的configuration)。
您可能还需要检查远程对等体上的debugging,以查看是否收到AM_SND_MSG2 。
不幸的是,我不认为思科发布了他们的FSM是如何工作的,你必须自己理解日志或者向TAC或SF请求;)