所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

IPSEC隧道建立后时断时续

发布时间:  2013-05-28  |   浏览次数:  31  |   下载次数:  0  |   作者:  z84011449  |   文档编号: EKB1000028817

目录

问题描述

USG5120作为总部,分支USG2100,版本都是最新,隧道能够建立成功,但是建立不久又会从新协商,反复建立和删除隧道。

告警信息

处理过程

1、隧道能够建立,说明参数无问题。
2、disp ike sa查看:
     <HNX>disp ike sa
15:09:28  2013/05/28
current ike sa number: 2
-----------------------------------------------------------------------------
conn-id    peer                    flag          phase vpn
-----------------------------------------------------------------------------
42335      3.63.19.22          RD|ST         v2:2  public
1308        3.63.19.22          RD|ST         v2:1  public

  flag meaning
  RD--READY    ST--STAYALIVE  RL--REPLACED      FD--FADING
  TO--TIMEOUT  TD--DELETING   NEG--NEGOTIATING  D--DPD
<HNX>display ike sa
15:09:33  2013/05/28
current ike sa number: 2
-----------------------------------------------------------------------------
conn-id    peer                    flag          phase vpn
-----------------------------------------------------------------------------
42336      8.248.14.29          NEG           v2:2  public
1309       8.248.14.29          NEG           v2:1  public    

建立隧道时地址和端口地址时协商地址发生变化,而remote地址是用域名,说明域名解析出现问题导致。(后排除该域名使用两个地址做负载)

根因

1、总部使用策略模板,双出口,IPSEC策略只使用在一个出口上,配置略。
2、分支使用子策略,指向总部地址使用域名:
      ike peer b
      pre-shared-key %$%$5y[C1qAA_1AiB}Gemo#-8QH~%$%$
      ike-proposal 1
      remote-domain vpn.grande.com

建议与总结