USG3030相同sa spi导致不能手动建立第二个IPSec隧道

发布时间:  2012-07-23 浏览次数:  137 下载次数:  1
问题描述

现象:
客户用web页面配置第二个IPsec VPN的时候提示错误:



告警信息
处理过程
修改第二个隧道的sa spi(inboud和outband都要修改),第二个隧道建立成功。
根因

查看IPsec主要配置:
ipsec proposal jsst
 esp authentication-algorithm sha1
#
ipsec proposal zjjh
 esp authentication-algorithm sha1
#
ipsec policy jsst 10 manual
 security acl 3010
 proposal jsst
 tunnel local 1.1.1.1
 tunnel remote 2.2.2.2
 sa spi inbound esp 987654321
 sa string-key inbound esp poiuytrewq
 sa spi outbound esp 123456789
 sa string-key outbound esp qwertyuiop
#
ipsec policy jsst 21 manual
 security acl 3021
 proposal zjjh
 tunnel local 1.1.1.1
 tunnel remote 3.3.3.3
 sa spi inbound esp 987654321
 sa string-key inbound esp poiuytrewq
 sa spi outbound esp 123456789
 sa string-key outbound esp qwertyuiop
#
interface GigabitEthernet0/0
 ip address 1.1.1.1 255.255.255.0
 undo ip fast-forwarding qff
 undo ip fast-forwarding output
 ipsec policy jsst

从上面的配置,可以看到2个隧道的sa spi一样。
由于2个IPsec隧道使用的是相同的sa spi,所以第二个不能建立。sa spi是唯一标识这条隧道的。2个隧道不能用同样的sa spi。

建议与总结

END