USG6300(V100R001C30SPC100)替换老设备IPsec无法正常建立

发布时间:  2015-09-23 浏览次数:  193 下载次数:  0
问题描述
USG6300作为总部,替换老设备和友商做IPsec对接,IPsec隧道无法正常建立
告警信息
处理过程

1、确定两端公网地址是否可以互通,两端都没有问题

2、检查两端IKE参数配置是否正常,没有发现问题,但是IKE SA就是协商不起来

3、登陆防火墙查看IPsec会话发现对端发起的IKE协商会话到达防火墙后做了nat转换,但是检查配置没有发现nat server或者是目的nat转换的配置

HRP_A<BoYa_waiwang_usg6350_1>display firewall session table verbose source inside 220.176.108.80

00:59:56  2015/08/22

Current Total Sessions : 2

  IKEv2  VPN:public --> public  ID: a58f4022784302028055d7c97e

  Zone: dianxin--> trust  TTL: 00:02:00  Left: 00:01:54 

  Output-interface: Eth-Trunk11  NextHop: 172.16.2.254  MAC: 7c-a2-3e-89-60-49

  <--packets:0 bytes:0   -->packets:4 bytes:1184

  220.176.108.80:500-->218.95.29.142:500[192.168.200.199:500] PolicyName: 1

 

最后检查配置发现在配置address-group时,将nat-mode模式配置为no-pat模式了,配置为no-pat模式后,会下server-map表,将nat-mode模式修改为pat后问题解决

命令:

<sysname> system-view
[sysname] nat address-group abc
[sysname-nat-address-group-abc] nat-mode pat

根因
在配置address-group时,将nat-mode模式配置为no-pat模式了,配置为no-pat模式后,会下server-map表,将nat-mode模式修改为pat后问题解决
解决方案
将nat-mode模式修改为pat后问题解决
建议与总结

END