USG2110因内网子接口未配置标签导致ipsec vpn不能通信

发布时间:  2012-07-17 浏览次数:  223 下载次数:  0
问题描述

组网:USG2110---Internet---USG2210

USG2110和USG2210做ipsec vpn,隧道能够正常建立,在测试的时候,通过ping -a带上内网口的源地址测试通信情况,从USG2110 内网口ping USG2210内网口地址不能ping通,反过来从USG2210内网口pingUSG2110也不能ping通。

告警信息
处理过程

1、检查域间包过滤配置正确,排除此问题。

2、检查ipsec 的security acl配置正确,排除此问题。

3、从USG2110内网口 ping USG2210内网口,同时在USG2110和USG2210同时抓包,发现USG2110上有报错“IP packet is droped for the visit interface is down!”,检查USG2110配置,发现内网使用的是子接口,但是没有封装vlan标签,子接口状态处于物理up,协议down的状态。指导用户将子接口配置上vlan标签后问题解决。

附:抓包配置

USG2110:

acl number 3999
 rule 5 permit ip source 10.0.21.1 0 destination 192.168.3.55 0
 rule 10 permit ip source 192.168.3.55 0 destination 10.0.21.1 0

debug ip packet acl 3999

报错信息如下:

*0.1137506316 Secoway IP/8/debug_case:
Discarding, interface = Ethernet0/0/0, version = 4, headlen = 20, tos = 0,
pktlen = 84, pktid = 56391, offset = 0, ttl = 255, protocol = 1,
checksum = 64640, s = 192.168.3.55, d = 10.0.21.1
prompt: IP packet is droped for the visit interface is down!

USG2210的配置与USG2110相同

根因

1、可能是域间配置错误,导致ping不通。

2、可能是ipsec vpn的security acl配置错误,导致ping不通。

建议与总结
ipsec vpn能建立但是内网不能通信的情况下可以通过debug抓包来分析。

END