ACL不匹配导致IPSEC SA建立失败解决案例

发布时间:  2012-07-18 浏览次数:  121 下载次数:  0
问题描述
某局点通过两台USG2160做IPSEC VPN连接,一台为固定公网IP地址,另一台为3G拨号,当从拨号一端触发IPSEC连接时,发现隧道第二阶段没有建立,peer标志为:unnamed,网络拓扑如下:     usg2160----internet---usg2160
告警信息
处理过程
  1. 检测两个设备的IPSEC配置参数,发现都一致
  2. 检测做IPSEC的ACL的数据流,发现有错误:
一台的ACL为:
acl number 3001
rule 5 permit ip source 92.168.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
另一台的ACL为:
acl number 3000
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
将第一台设备的ACL规则改为:rule 5 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 即可。
根因
ACL没有形成镜像。
建议与总结
如果IPSEC的第二阶段没有建立,说明就是ACL没成镜像或者IPSEC的参数有不匹配的地方(特别是和友商产品对接要注意),本案例就是ACL里IP地址写错了,经过仔细检查才发现。

END