IPsec VPN詳解--驗證配置
五.常用故障調試命令
[H3C]disike sa
<H3C>debugging ipsec sa
<H3C>debugging ike sa
<H3C>terminal debugging
<H3C>terminal monitor
<H3C>display ipsec sa policy
配置完成後,發現網絡A和網絡B的用戶不能相互訪問。
可能原因
1.流量未匹配ACL規則
執行命令display acl acl-number,查看流量是否匹配了IPSec的ACL規則。
2.兩端設備的IKE安全提議配置不一致
分別在NGFW_A和NGFW_B上執行命令display ike proposal,查看兩臺設備的IKE安全提議配置是否一致,包括加密算法(authentication algorithm)、認證算法(encryption algorithm)和DH組標識(Diffie-Hellman group)等。
3.兩端設備的IKE版本不同
4.對端IP地址或對端域名配置錯誤
分別在NGFW_A和NGFW_B上執行命令display ike peer [ brief [ ipv6 ] | name peer-name ],查看對端IP地址是否配置正確。
5.兩端設備的預共享密鑰配置不一致
6.未啟用NAT穿越功能
分別在NGFW_A和NGFW_B上執行命令display ike peer [ brief [ ipv6 ] | name peer-name ],查看NAT穿越功能是否啟用。
7.兩端設備的IPSec安全提議配置不一致
分別在NGFW_A和NGFW_B上執行命令display ipsec proposal [ brief | name proposal-name ],查看兩臺設備的IPSec安全提議配置是否一致,包括采用的安全協議,安全協議采用的認證算法和加密算法,報文封裝模式等。
8.兩端設備的PFS功能配置不一致
分別在NGFW_A和NGFW_B上執行命令display ipsec policy [ brief | name policy-name [ seq-number | extend-acl ] ],查看兩臺設備的PFS功能配置是否一致。
9.IPSec安全策略順序號配置錯誤
分別在NGFW_A和NGFW_B上執行命令display ipsec policy [ brief | name policy-name [ seq-number | extend-acl ] ],查看兩臺設備的IPSec安全策略順序號。
10.IPSec安全策略應用在錯誤的接口上
分別在NGFW_A和NGFW_B上執行命令display ipsec policy [ brief | name policy-name [ seq-number | extend-acl ] ],查看IPSec安全策略是否應用在正確的接口上。
11.SA超時時間配置過小
如果用戶頻繁斷開連接,原因可能是IKE SA超時時間配置過小。IKE SA超時時間缺省為86400秒。
執行命令display ike proposal,查看IKE SA的超時時間
12.路由配置錯誤
13.安全策略配置錯誤
14.NAT策略配置錯誤
15.沒有清除舊的或已經存在的SA(安全聯盟)
清除IKE SA(reset ike sa)和IPSec SA(reset ipsec sa)是最簡單和常見的解決IPSec VPN故障的方法。當管理員修改或增加IPSec配置後,一般都需要清除舊的或已經存在的SA。
轉載 http://dadiwm.blog.51cto.com/1773851/1783449/
本文出自 “Garrett” 博客,請務必保留此出處http://garrett.blog.51cto.com/11611549/1983607
IPsec VPN詳解--驗證配置