IPsec VPN详解--验证配置
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了IPsec VPN详解--验证配置相关的知识,希望对你有一定的参考价值。
五.常用故障调试命令
[H3C]disike sa
<H3C>debugging ipsec sa
<H3C>debugging ike sa
<H3C>terminal debugging
<H3C>terminal monitor
<H3C>display ipsec sa policy
配置完成后,发现网络A和网络B的用户不能相互访问。
可能原因
1.流量未匹配ACL规则
执行命令display acl acl-number,查看流量是否匹配了IPSec的ACL规则。
2.两端设备的IKE安全提议配置不一致
分别在NGFW_A和NGFW_B上执行命令display ike proposal,查看两台设备的IKE安全提议配置是否一致,包括加密算法(authentication algorithm)、认证算法(encryption algorithm)和DH组标识(Diffie-Hellman group)等。
3.两端设备的IKE版本不同
4.对端IP地址或对端域名配置错误
分别在NGFW_A和NGFW_B上执行命令display ike peer [ brief [ ipv6 ] | name peer-name ],查看对端IP地址是否配置正确。
5.两端设备的预共享密钥配置不一致
6.未启用NAT穿越功能
分别在NGFW_A和NGFW_B上执行命令display ike peer [ brief [ ipv6 ] | name peer-name ],查看NAT穿越功能是否启用。
7.两端设备的IPSec安全提议配置不一致
分别在NGFW_A和NGFW_B上执行命令display ipsec proposal [ brief | name proposal-name ],查看两台设备的IPSec安全提议配置是否一致,包括采用的安全协议,安全协议采用的认证算法和加密算法,报文封装模式等。
8.两端设备的PFS功能配置不一致
分别在NGFW_A和NGFW_B上执行命令display ipsec policy [ brief | name policy-name [ seq-number | extend-acl ] ],查看两台设备的PFS功能配置是否一致。
9.IPSec安全策略顺序号配置错误
分别在NGFW_A和NGFW_B上执行命令display ipsec policy [ brief | name policy-name [ seq-number | extend-acl ] ],查看两台设备的IPSec安全策略顺序号。
10.IPSec安全策略应用在错误的接口上
分别在NGFW_A和NGFW_B上执行命令display ipsec policy [ brief | name policy-name [ seq-number | extend-acl ] ],查看IPSec安全策略是否应用在正确的接口上。
11.SA超时时间配置过小
如果用户频繁断开连接,原因可能是IKE SA超时时间配置过小。IKE SA超时时间缺省为86400秒。
执行命令display ike proposal,查看IKE SA的超时时间
12.路由配置错误
13.安全策略配置错误
14.NAT策略配置错误
15.没有清除旧的或已经存在的SA(安全联盟)
清除IKE SA(reset ike sa)和IPSec SA(reset ipsec sa)是最简单和常见的解决IPSec VPN故障的方法。当管理员修改或增加IPSec配置后,一般都需要清除旧的或已经存在的SA。
转载 http://dadiwm.blog.51cto.com/1773851/1783449/
本文出自 “Garrett” 博客,请务必保留此出处http://garrett.blog.51cto.com/11611549/1983607
以上是关于IPsec VPN详解--验证配置的主要内容,如果未能解决你的问题,请参考以下文章