IPSEC由于子接口没有封装VLAN造成业务不通

发布时间:  2012-07-17 浏览次数:  183 下载次数:  0
问题描述
组网:Usg2110-------internet-------usg2130
Ipsec2110为分支,   2130为总部   两端ipsec都是配置好了的,隧道的ike 第一阶段和ike 第二 阶段都是正常的,ipsec sa 创建也是成功的,用户反应在usg2110上带内往网关地址就是ping不通2130的内网网关地址。ipsec sa 已经建立就是业务不通。

告警信息
处理过程
1 通过对acl的检查可以确定ACL配置是没有问题,端口快转也是关闭的。
2 最后在防火墙2110上面做了一个debug 测试,从debugging看出防火墙2110该数据没有携带标签,然后丢弃了该数据。
解决方法,在子接口上给该IP地址封装上了vlan以后隧道两边的防火墙带上内网地址就能PING通了,2110子接口上面封装了VLAN以后问题解决了。
根因

1 ACL配置

2端口快转有没有关闭

建议与总结

END