ipsec vpn调试不通的排错思路

发布时间:  2012-07-18 浏览次数:  237 下载次数:  0
问题描述
usg2110与usg3000进行点对点vpn的时候,发现隧道协商不起来.
告警信息
处理过程

1.对acl进行检查,采用display acl all,发现acl 全部都有命中,总部端的acl命中数没有增长,但是分部已经命中,

2.采用dis ike sa进行查看,发现ike 的协商已经完成.

3.检查ike peer里面的配置情况,参数无问题,总部的ike peer 里面对加密数据流进行了调用.这是导致问题的原因.

在总部配置端,对感兴趣流量的定义,可以不用定义,在ike peer里面也不用调用,系统会根据分支acl自动镜象加密数据流.

根因

隧道协商不成功一般有以下可能:

1.隧道协商没有触发 ,一般情况下是由于acl没有命中,隧道没有触发进行协商;

2.ike提议有问题.

3.ike peer中的各参数是否一致

4.采用名字认证方式时,只能由分部机构发起协商

建议与总结
在进行ipsec vpn排错中,需要注意总部的设备上面感兴趣流量的定义方式

END