所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

Ar2200 V2r7c00spc900 ipsec vpn 业务不通问题

发布时间:  2019-07-23  |   浏览次数:  506  |   下载次数:  0  |   作者:  wWX466235  |   文档编号: EKB1001984493

目录

问题描述

两台Ar2200 (V2r7c00spc900)建立的ipsec vpn,两台服务器通过该vpn遂道,互传数据库数据业务不通问题

处理过程

1,使用命令查看ike状态,正常

  命令为: display ike sa

2,使用命令查看ipsec sa状态正常;

  命令为:display ipsec sa

3,两台仅通过vpn通信的服务器之间,互ping正常,其它业务也正常,但仅数据库互通异常

4,两台服务器数据库访问时,查看ipSecvpn通道丢包情况,未发现丢包,且其outbound数据包统计值增加,inbound统计数据无增长

  命令为:display ipsec statistics

  <Huawei> display ipsec statistics

    IPSec statistics information:

    Number of IPSec tunnels: 1

    the security packet statistics:                                                

      input/output security packets: 0/500                                           

      input/output security bytes: 0/10000                                             

      input/output dropped security packets: 0/0   

   在对端查看display ipsec statistics时,未发现display ipsec sa inbound方向上有数值增加,display ipsec statistics inbound方向上无错包,也无数值增长;

  遂怀疑运营商丢弃大包导致;

5,Ar出接口mtu值配置为1300,发现display ipsec statistics outbound错包增加;

6,对服务器数据库互通报文进行报文头获取,发现报文不允许分片;而服务器侧不允许修改相关内容。 

  考虑在AR处强制分片报文,遂在出接口处配置clear ip df,问题解决。 





根因

由AR出口mtu值小于服务器原始报文ipsec封装后的ip报文,而服务器ip报文不允许分片,导致ip报文被设备丢弃,这种情况下就需要启用IP报文强制分片功能,系统将把IP报文的DF标志位置0,并进行分片处理,来保证报文能够全部转发出去。