IPSec典型故障-保护流ACL有包含关系导致业务不通

发布时间:  2014-08-16 浏览次数:  126 下载次数:  13
问题描述
USG2200(分支) ---------- USG5100(总部)
分支USG2200和总部USG5100 IPSec协商成功,但是业务流量不通。
告警信息
处理过程
太长,见附件
根因
可能原因:
1、 保护流ACL中目的IP地址的路由配置错误,导致业务没有进IPSec隧道;
2、 中间网络丢弃加密后esp报文,导致业务不通;
3、 其他原因导致业务报文没有进IPSec隧道,业务不通。
建议与总结
对于协商成功,但是业务不通的问题,跟普通转发的定位方式类似,查看会话,检查包过滤等,特别地需要注意多个ipsec policy的时候,不允许配置的保护流ACL有包含关系。

END