FAQ--为什么IPSec已经建立但是流量入不了隧道

发布时间:  2015-11-19 浏览次数:  140 下载次数:  0
问题描述
某客户已经配置了站点到站点的IPSec VPN隧道,而且隧道建立成功,但是当流量上送得到防火墙的时候,流量却无法转发到隧道中去。
解决方案

一般情况下可以从以下方面考虑:

a.检查流量是否可以命中secuity acl.

可以通过命令:display ipsec sa 中source flow/destination flow 去判断

b.检查是否添加了静态路由,保证流量可以正确转发

c.检查域间策略是否正确,保证用户流量不被防火墙策略丢掉

d.查看NAT策略,由于NAT策略的处理优先级高于域间策略处理的优先级,请确保进隧道的NAT行为是NO-NAT.


以上是常见问题,但还是有一种容易忽略的情况,用户配置了认证策略,检查方法是查看配置

中auth-policy策略是否命中了security acl中的流量并且行为是action auth.

如果用户配置了认证策略但是对用户流量不认证的情况下,设备会将用户报文丢弃,正常流量无法转发到隧道。

以下提供了设备丢弃报文的流统方法:

1.配置ACL,用于匹配需要关注的流量

2.在诊断视图下时能流统:firewall statistic acl xxxx enable

3.打流测试

4.查看流统结果:display firewall statistic acl 3999 .

如果discard为0,则表示报文没有丢在设备上,如果有丢包,则以设备提示的丢包原因排查。

END