未关闭内网接口快转功能 导致ipsec业务不通

发布时间:  2012-07-17 浏览次数:  136 下载次数:  0
问题描述

PC1----USG2130-------SRG20-20-----PC2

1、USG2130能ping通PC2,在USG2130上带源地址(PC1网关)也能ping通PC2,PC1无法ping通PC2

2、display ipsec sa和display ike sa隧道建立正常

告警信息
处理过程

1、仔细检查设备关于ipsec的配置,发现配置没有问题

2、查看PC1网关也确实做在USG2130的内网口上

3、通过在debug ipsec all,发现PC1的报文没有通过正常方式被加密,而是直接被转发。

     在内网接口上关闭快转功能 undo ip fast-forwarding qff 问题解决。

根因

1、USG2130和SRG的关于IPSEC VPN的配置问题

2、PC1没有配置网管,或者PC1的网管没有在USG2130上

3、USG2130内网接口没有关闭快转

建议与总结

低端设备在做ipsec vpn时尽量都关闭接口快转功能

 undo ip fast-forwarding qff

END