修改acl未重新在接口应用导致ipsec业务不通

发布时间:  2012-07-18 浏览次数:  60 下载次数:  0
问题描述

1、客户总部做的ipsec策略模板,所有的隧道都建立起来了

2、其他节点的业务都可以通信,只有一个点的ipsec业务不通。

3、在总部usg2200设备上查看display ipsec statistics中有一个值一直在增加  front recheck: 0, after recheck: 1353

4、不过执行了undo ipsec succeed-check 上面那个值没增加了 但是还是通信不了

告警信息
处理过程
在总部usg2200的接口下重新应用一下ipsec policy,问题解决。
根因

在总部usg2200的接口下重新应用一下ipsec policy,问题解决。

对感兴趣流量acl中的rule删除,然后再重新把rule加上去,故障可以复现。说明是客户对acl中的rule有过修改,而没有重新在接口下应用ipsec policy导致的。

建议与总结
在我们的中低端防火墙,做了ipsec的acl修改之后,一定要在接口上重新应用,否则修改过的rule的业务是无法通信的

END