IPsec VPN详解--验证配置

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了IPsec VPN详解--验证配置相关的知识,希望对你有一定的参考价值。

.常用故障调试命令

[H3C]disike sa

<H3C>debugging ipsec sa

<H3C>debugging ike sa

<H3C>terminal debugging

<H3C>terminal monitor

<H3C>display ipsec sa policy



配置完成后,发现网络A和网络B的用户不能相互访问。

可能原因

1.流量未匹配ACL规则  

  • 执行命令display acl acl-number,查看流量是否匹配了IPSec的ACL规则。

2.两端设备的IKE安全提议配置不一致

  • 分别在NGFW_A和NGFW_B上执行命令display ike proposal,查看两台设备的IKE安全提议配置是否一致,包括加密算法(authentication algorithm)、认证算法(encryption algorithm)和DH组标识(Diffie-Hellman group)等。

3.两端设备的IKE版本不同

4.对端IP地址或对端域名配置错误

  • 分别在NGFW_A和NGFW_B上执行命令display ike peer [ brief [ ipv6 ] | name peer-name ],查看对端IP地址是否配置正确。

5.两端设备的预共享密钥配置不一致

6.未启用NAT穿越功能

  • 分别在NGFW_A和NGFW_B上执行命令display ike peer [ brief [ ipv6 ] | name peer-name ],查看NAT穿越功能是否启用。

7.两端设备的IPSec安全提议配置不一致

  • 分别在NGFW_A和NGFW_B上执行命令display ipsec proposal [ brief | name proposal-name ],查看两台设备的IPSec安全提议配置是否一致,包括采用的安全协议,安全协议采用的认证算法和加密算法,报文封装模式等。

8.两端设备的PFS功能配置不一致

  • 分别在NGFW_A和NGFW_B上执行命令display ipsec policy [ brief | name policy-name [ seq-number | extend-acl ] ],查看两台设备的PFS功能配置是否一致。

9.IPSec安全策略顺序号配置错误

  • 分别在NGFW_A和NGFW_B上执行命令display ipsec policy [ brief | name policy-name [ seq-number | extend-acl ] ],查看两台设备的IPSec安全策略顺序号。

10.IPSec安全策略应用在错误的接口上

  • 分别在NGFW_A和NGFW_B上执行命令display ipsec policy [ brief | name policy-name [ seq-number | extend-acl ] ],查看IPSec安全策略是否应用在正确的接口上。

11.SA超时时间配置过小

  • 如果用户频繁断开连接,原因可能是IKE SA超时时间配置过小。IKE SA超时时间缺省为86400秒。

  • 执行命令display ike proposal,查看IKE SA的超时时间

12.路由配置错误

13.安全策略配置错误

14.NAT策略配置错误

15.没有清除旧的或已经存在的SA(安全联盟)

  • 清除IKE SA(reset ike sa)和IPSec SA(reset ipsec sa)是最简单和常见的解决IPSec VPN故障的方法。当管理员修改或增加IPSec配置后,一般都需要清除旧的或已经存在的SA。

 转载 http://dadiwm.blog.51cto.com/1773851/1783449/


本文出自 “Garrett” 博客,请务必保留此出处http://garrett.blog.51cto.com/11611549/1983607

以上是关于IPsec VPN详解--验证配置的主要内容,如果未能解决你的问题,请参考以下文章

IPsec VPN详解--nat穿越内网

IPsec VPN详解--拨号地址

防火墙基础之IPSec VPN实验详解#导入Word文档图片#

IPsec VPN详解--静态地址

IPsec VPN详解--动态地址

路由器配置点到多点IPsec VPN