Кто-нибудь может мне помочь понять, что здесь происходит? Если нет совпадающих предложений с обеих сторон, то хаб немедленно запрашивает удаление, и я не могу понять, почему. Отладка и соответствующие настройки приведены ниже. *Aug 1 21:32:09.155: IKEv2:(SESSION ID = 190,SA ID = 1):Queuing IKE SA delete request reason: Received no proposal chosen notify
*Aug 1 21:32:09.155: IKEv2:(SESSION ID = 190,SA ID = 1):Sending DELETE INFO message for IPsec SA [SPI: 0xF63B988E]
*Aug 1 21:32:09.155: IKEv2:(SESSION ID = 190,SA ID = 1):Building packet for encryption. Aug 1 13:15:29.740 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):IPSec policy validate request sent for profile v2-profile with psh index 1. Aug 1 13:15:29.740 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):
Aug 1 13:15:29.741 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):(SA ID = 1):[IPsec -> IKEv2] Callback received for the validate proposal - FAILED. Aug 1 13:15:29.741 pst: IKEv2-ERROR:(SESSION ID = 300632,SA ID = 1):Received Policies: : Failed to find a matching policyESP: Proposal 1: AES-CBC-128 SHA96 Don't use ESN Aug 1 13:15:29.741 pst: IKEv2-ERROR:(SESSION ID = 300632,SA ID = 1):: Failed to find a matching policy
Aug 1 13:15:29.741 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Sending no proposal chosen notify
Aug 1 13:15:29.741 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Get my authentication method
Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):My authentication method is 'PSK'
Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Get peer's preshared key for 151.196.127.11
Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Generate my authentication data
Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Use preshared key for id 100.100.100.3, key len 6
Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):[IKEv2 -> Crypto Engine] Generate IKEv2 authentication data
Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):[Crypto Engine -> IKEv2] IKEv2 authentication data generation PASSED
Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Get my authentication method
Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):My authentication method is 'PSK'
Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Generating IKE_AUTH message
Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Constructing IDr payload: '100.100.100.3' of type 'IPv4 address'
Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Building packet for encryption.
Payload contents: VID IDr AUTH NOTIFY(NO_PROPOSAL_CHOSEN) Aug 1 13:15:29.742 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Sending Packet [To 151.196.127.11:4500/From 100.100.100.3:4500/VRF i0:f0]
Initiator SPI : 2532361CD40BCDBD - Responder SPI : 9F747B68B9CD2B7A Message id: 1
IKEv2 IKE_AUTH Exchange RESPONSE
Payload contents: ENCR Aug 1 13:15:29.743 pst: IKEv2:(SA ID = 1):[IKEv2 -> PKI] Close PKI Session
Aug 1 13:15:29.743 pst: IKEv2:(SA ID = 1):[PKI -> IKEv2] Closing of PKI Session PASSED
Aug 1 13:15:29.743 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):IKEV2 SA created; inserting SA into database. SA lifetime timer (86400 sec) started
Aug 1 13:15:29.743 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Session with IKE ID PAIR (151.196.127.11, 100.100.100.3) is UP
Aug 1 13:15:29.743 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Initializing DPD, configured for 20 seconds
Aug 1 13:15:29.743 pst: IKEv2:(SESSION ID = 0,SA ID = 0):IKEv2 MIB tunnel started, tunnel index 1
Aug 1 13:15:29.743 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Checking for duplicate IKEv2 SA
Aug 1 13:15:29.743 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):No duplicate IKEv2 SA found
Aug 1 13:15:29.743 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Starting timer (8 sec) to delete negotiation context Aug 1 13:15:29.824 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Received Packet [From 151.196.127.11:4500/To 100.100.100.3:4500/VRF i0:f0]
Initiator SPI : 2532361CD40BCDBD - Responder SPI : 9F747B68B9CD2B7A Message id: 2
IKEv2 INFORMATIONAL Exchange REQUEST
Payload contents: DELETE Aug 1 13:15:29.825 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Building packet for encryption. Aug 1 13:15:29.825 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Sending Packet [To 151.196.127.11:4500/From 100.100.100.3:4500/VRF i0:f0]
Initiator SPI : 2532361CD40BCDBD - Responder SPI : 9F747B68B9CD2B7A Message id: 2
IKEv2 INFORMATIONAL Exchange RESPONSE
Payload contents: ENCR Aug 1 13:15:29.826 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Process delete request from peer
Aug 1 13:15:29.826 pst: IKEv2:(SESSION ID = 300632,SA ID = 1):Processing DELETE INFO message for IPsec SA [SPI: 0xF50ABCD1] Конфигурация HUB: crypto ikev2 proposal v2-prop encryption aes-cbc-256 integrity sha256 group 15
!
crypto ikev2 policy v2-policy proposal v2-prop
!
crypto ikev2 keyring v2-keyring peer tmz address <not relevant> pre-shared-key ######### ! peer tmz-2 address 151.196.127.11 pre-shared-key ####### !
!
!
crypto ikev2 profile v2-profile match address local interface GigabitEthernet0/0/0 match identity remote address 0.0.0.0 authentication remote pre-share authentication local pre-share keyring local v2-keyring dpd 20 2 periodic
!
crypto ikev2 nat keepalive 20
!
!
crypto isakmp policy 1 encryption aes hash sha authentication pre-share group 2
!
crypto isakmp policy 2 encryption aes 256 hash sha256 authentication pre-share group 14 !
crypto ipsec transform-set 2025-v2 esp-aes 256 esp-sha256-hmac mode tunnel
crypto ipsec fragmentation after-encryption
!
!
crypto ipsec profile 2025-v2 set transform-set 2025-v2 set ikev2-profile v2-profile
! interface Tunnel1 ip address 172.21.8.9 255.255.255.252 ip mtu 1400 ip tcp adjust-mss 1360 tunnel source GigabitEthernet0/0/0 tunnel mode ipsec ipv4 tunnel destination 151.196.127.11 tunnel protection ipsec profile 2025-v2 Конфигурация SPOKE: crypto ikev2 proposal v2-prop encryption aes-cbc-256 integrity sha256 group 15
!
crypto ikev2 policy v2-policy proposal v2-prop
!
crypto ikev2 keyring v2-keyring peer hub address 100.100.100.3 pre-shared-key ##### !
!
!
crypto ikev2 profile v2-profile match address local interface GigabitEthernet0/0/0 match identity remote address 100.100.100.3 255.255.255.0 identity local address 151.196.127.11 authentication remote pre-share authentication local pre-share keyring local v2-keyring dpd 20 2 periodic
!
crypto ikev2 nat keepalive 20
!
!
crypto isakmp policy 1 encryption aes hash sha authentication pre-share group 2 crypto ipsec transform-set 2025-v2 esp-aes 256 esp-sha256-hmac mode tunnel
crypto ipsec fragmentation after-encryption
!
!
crypto ipsec profile ikev2-v2 set transform-set 2025-v2 set ikev2-profile v2-profile ! interface Tunnel4 ip address 172.21.8.10 255.255.255.252 ip mtu 1400 ip nat inside ip tcp adjust-mss 1360 tunnel source GigabitEthernet0/0/0 tunnel mode ipsec ipv4 tunnel destination 100.100.100.3 tunnel protection ipsec profile ikev2-v2

]]>https://sla247.ru/forum/topic/2415/ikev2-received-policies-failed-to-find-a-matching-policyRSS for NodeFri, 15 May 2026 04:12:42 GMTMon, 02 Mar 2026 12:43:07 GMT60@MHM Cisco World
написал: esp-256-aes Так написано? Я вижу другое в show run ?? esp-aes 256 Попробуйте добавить, как показано в справке по команде MHM Вот, пожалуйста: (config)#crypto ipsec transform-set strong-set esp-256-aes esp-sha256-hmac
(confg)#mode tunnel
!
crypto ipsec transform-set strong-set esp-aes 256 esp-sha256-hmac mode tunnel
crypto ipsec fragmentation after-encryption Что-то должно быть сломано или не так, баг или что-то еще, я не знаю. Я просто не могу настроить этот туннель с чем-либо, кроме самого низкого уровня шифрования/хеширования.

]]>https://sla247.ru/forum/post/16968https://sla247.ru/forum/post/16968Mon, 02 Mar 2026 12:43:23 GMTesp-256-aes Это так написано? Я вижу другое в show run ?? esp-aes 256 Попробуйте добавить, как показано в справке по команде MHM

]]>https://sla247.ru/forum/post/16967https://sla247.ru/forum/post/16967Mon, 02 Mar 2026 12:43:22 GMTПопытка не увенчалась успехом, одно и то же сообщение как для 4431, так и для 1111: 4431(config)#no crypto ikev2 proposal default%
Невозможно удалить, так как предложение используется. Странно то, что при настройке набора преобразований на 1111 есть из чего выбирать, так что он явно их поддерживает: 1111(config)#crypto ipsec transform-set set-strong ? ah-md5-hmac AH-HMAC-MD5 transform ah-sha-hmac AH-HMAC-SHA transform ah-sha256-hmac AH-HMAC-SHA256 transform ah-sha384-hmac AH-HMAC-SHA384 transform ah-sha512-hmac AH-HMAC-SHA512 transform esp-192-aes ESP transform using AES cipher (192 bits) esp-256-aes ESP transform using AES cipher (256 bits) esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-aes ESP transform using AES cipher esp-des ESP transform using DES cipher (56 bits) esp-gcm ESP transform using GCM cipher esp-gmac ESP transform using GMAC cipher esp-md5-hmac ESP transform using HMAC-MD5 auth esp-null ESP transform w/o cipher esp-seal ESP transform using SEAL cipher (160 bits) esp-sha-hmac ESP transform using HMAC-SHA auth esp-sha256-hmac ESP transform using HMAC-SHA256 auth esp-sha384-hmac ESP transform using HMAC-SHA384 auth esp-sha512-hmac ESP transform using HMAC-SHA512 auth 1111(config)#crypto ipsec transform-set set-128

]]>https://sla247.ru/forum/post/16966https://sla247.ru/forum/post/16966Mon, 02 Mar 2026 12:43:21 GMTнет предложения по шифрованию ikev2 по умолчанию <<- добавьте это как к spoke, так и к hub Затем используйте старое надежное шифрование и целостность. Я быстро проверяю, что оба поддерживают aes256 sha256 Но, возможно, используется предложение по умолчанию, а не конфигурация MHM

]]>https://sla247.ru/forum/post/16965https://sla247.ru/forum/post/16965Mon, 02 Mar 2026 12:43:20 GMT@MHM Cisco World
написал:
Abd для хаба и платформы
MHM Концентратор — 4431 с версией 17.6.3a с усилительным модулем и seck9.

]]>https://sla247.ru/forum/post/16964https://sla247.ru/forum/post/16964Mon, 02 Mar 2026 12:43:19 GMTAbd для хаба и платформы MHM

]]>https://sla247.ru/forum/post/16963https://sla247.ru/forum/post/16963Mon, 02 Mar 2026 12:43:18 GMT@MHM Cisco World
написал:
Какую платформу вы используете?
Позвольте мне проверить ее спецификации, чтобы увидеть все наборы преобразований, которые она поддерживает.
MHM C1111-4p с версией 17.6.6a и лицензией seck9.

]]>https://sla247.ru/forum/post/16962https://sla247.ru/forum/post/16962Mon, 02 Mar 2026 12:43:17 GMTКакую платформу вы используете? Позвольте мне проверить ее спецификации, чтобы увидеть все наборы преобразований, которые она поддерживает. MHM

]]>https://sla247.ru/forum/post/16961https://sla247.ru/forum/post/16961Mon, 02 Mar 2026 12:43:16 GMT@MHM Cisco World
написал:
Набор преобразований должен быть изменен на следующий
esp-aes 128 esp-sha-hmac
MHM Но почему? Почему я не могу использовать что-то более надежное?

]]>https://sla247.ru/forum/post/16960https://sla247.ru/forum/post/16960Mon, 02 Mar 2026 12:43:15 GMTНабор преобразований должен быть изменен на следующий esp-aes 128 esp-sha-hmac MHM

]]>https://sla247.ru/forum/post/16959https://sla247.ru/forum/post/16959Mon, 02 Mar 2026 12:43:14 GMTНет SA ikev2 ни на концентраторе, ни на спице. SPOKE IPSEC SA: show crypto ipsec sa interface: Tunnel4 Crypto map tag: Tunnel4-head-0, local addr 192.168.86.135 protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 100.100.100.3 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 192.168.86.135, remote crypto endpt.: 100.100.100.3 plaintext mtu 1500, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/0 current outbound spi: 0x0(0) PFS (Y/N): N, DH group: none inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: HUB IPSEC SA: interface: Tunnel7 Crypto map tag: Tunnel7-head-0, local addr 100.100.100.3 protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 151.196.127.11 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 38.108.181.3, remote crypto endpt.: 151.196.127.11 plaintext mtu 1500, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/0 current outbound spi: 0x0(0) PFS (Y/N): N, DH group: none inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas:

]]>https://sla247.ru/forum/post/16958https://sla247.ru/forum/post/16958Mon, 02 Mar 2026 12:43:13 GMTПоказать криптографический протокол IPsec SA Показать криптографию ikev2 sa Поделиться этим также, MHM

]]>https://sla247.ru/forum/post/16957https://sla247.ru/forum/post/16957Mon, 02 Mar 2026 12:43:12 GMTРешение ниже.

]]>https://sla247.ru/forum/post/16956https://sla247.ru/forum/post/16956Mon, 02 Mar 2026 12:43:11 GMTОтладка внутренней криптографии ikev2 Поделиться этим для обоих пиров

]]>https://sla247.ru/forum/post/16955https://sla247.ru/forum/post/16955Mon, 02 Mar 2026 12:43:10 GMTпоказать преобразование crypto ipsec - установить
преобразование crypto ipsec - установить по умолчанию <<- отключить преобразование по умолчанию ![Screenshot (989).png]
![Screenshot (990).png]

]]>https://sla247.ru/forum/post/16954https://sla247.ru/forum/post/16954Mon, 02 Mar 2026 12:43:09 GMTЯ исправил это, но не понимаю, почему... на обоих концах мне пришлось использовать более старое шифрование,
esp-aes esp-sha-hmac
... почему так? Если я пытался использовать что-либо другое
,
то получал ошибку
«no proposal chosen
» (не
выбрано
предложение
).
Может ли кто-нибудь объяснить, почему так происходит? И означает ли это, что я буду использовать этот хеш для всех своих пиров v2? crypto ipsec transform-set set1 esp-aes esp-sha-hmac mode transport crypto ipsec profile pro-ikev2 set transform-set set-1 set ikev2-profile v2-profile interface Tunnel7 ip address 172.21.8.9 255.255.255.252 ip mtu 1400 ip tcp adjust-mss 1360 tunnel source GigabitEthernet0/0/0
tunnel mode ipsec ipv4 tunnel destination 151.196.127.11 tunnel protection ipsec profile set-ikev2 show crypto ipsec profile set-ikev2
IPSEC profile sey-ikev2 IKEv2 Profile: v2-profile Security association lifetime: 4608000 kilobytes/3600 seconds Responder-Only (Y/N): N PFS (Y/N): N Mixed-mode : Disabled Transform sets={ Set-1: { esp-aes esp-sha-hmac } , } hub-4431#show crypto ikev2 sa IPv4 Crypto IKEv2 SA Tunnel-id Local Remote fvrf/ivrf Status
1 100.100.100.3/4500 151.196.127.11/4500 none/none READY Encr: AES-CBC, keysize: 256, PRF: SHA256, Hash: SHA256, DH Grp:15, Auth sign: PSK, Auth verify: PSK Life/Active Time: 86400/132 sec IPv6 Crypto IKEv2 SA HUB: crypto ipsec transform-set set1 esp-aes esp-sha-hmac mode transport crypto ipsec profile pro-ikev2 set transform-set set-1 set ikev2-profile v2-profile interface Tunnel7 ip address 172.21.8.9 255.255.255.252 ip mtu 1400 ip tcp adjust-mss 1360 tunnel source GigabitEthernet0/0/0
tunnel mode ipsec ipv4 tunnel destination 151.196.127.11 tunnel protection ipsec profile set-ikev2 show crypto ipsec profile sey-ikev2
IPSEC profile sey-ikev2 IKEv2 Profile: v2-profile Security association lifetime: 4608000 kilobytes/3600 seconds Responder-Only (Y/N): N PFS (Y/N): N Mixed-mode : Disabled Transform sets={ set-1: { esp-aes esp-sha-hmac } , } hub-4431#show crypto ikev2 sa IPv4 Crypto IKEv2 SA Tunnel-id Local Remote fvrf/ivrf Status
1 100.100.100.3/4500 151.196.127.11/4500 none/none READY Encr: AES-CBC, keysize: 256, PRF: SHA256, Hash: SHA256, DH Grp:15, Auth sign: PSK, Auth verify: PSK Life/Active Time: 86400/132 sec SPOKE: show crypto ipsec profile set-ikev2
IPSEC profile set-ikev2 IKEv2 Profile: v2-profile Security association lifetime: 4608000 kilobytes/3600 seconds Responder-Only (Y/N): N PFS (Y/N): N Mixed-mode : Disabled Transform sets={ Set1: { esp-aes esp-sha-hmac } , show crypto ikev2 sa IPv4 Crypto IKEv2 SA Tunnel-id Local Remote fvrf/ivrf Status
1 192.168.86.135/4500 100.100.100.3/4500 none/none READY Encr: AES-CBC, keysize: 256, PRF: SHA256, Hash: SHA256, DH Grp:15, Auth sign: PSK, Auth verify: PSK Life/Active Time: 86400/345 sec IPv6 Crypto IKEv2 SA

]]>https://sla247.ru/forum/post/16953https://sla247.ru/forum/post/16953Mon, 02 Mar 2026 12:43:08 GMT