【TechTarget中国原创】问:我在我这一端的思科集线器上配置了IPsec LAN-to-LAN VPN,在客户端有一个思科PIX防火墙。
当我看到过滤器登陆集线器时表明通道已经建立,同时也发生了一个QM FSM错误。
登陆样本如下:
12391 02/27/2008 21:26:00.970 SEV=4 IKEDBG/97 RPT=5664 x.x.x.x Group [x.x.x.x] QM FSM error (P2 struct &0xe6cc160, mess id 0x3abad321)!
12381 02/27/2008 21:25:50.960 SEV=4 IKE/41 RPT=50043 x.x.x.x Group [x.x.x.x] IKE Initiator: New Phase 2, Intf 2, IKE Peer x.x.x.x local Proxy Address x.x.x.0, remote Proxy Address x.x.x.0, SA (L2L: Enabil-Tunnel) |
这造成了什么样的安全威胁,我应该怎样进行修复呢?
答:QM FSM错误信息出现的原因是IPsec L2L VPN通道没有正常出现在PIX防火墙或ASA中。
一个可能的原因就是代理身份两端不匹配,例如数据流量、访问控制列表(ACL)或crypto访问控制列表(ACL)等。检查两边装置的配置,确保crypto访问控制列表的(ACL)的匹配。