五.常用故障調試命令

[H3C]disike sa

<H3C>debugging ipsec sa

<H3C>debugging ike sa

<H3C>terminal debugging

<H3C>terminal monitor

<H3C>display ipsec sa policy

配置完成後，發現網絡A和網絡B的用戶不能相互訪問。

可能原因

1.流量未匹配ACL規則

• 執行命令display acl acl-number，查看流量是否匹配了IPSec的ACL規則。

2.兩端設備的IKE安全提議配置不一致

• 分別在NGFW_A和NGFW_B上執行命令display ike proposal，查看兩臺設備的IKE安全提議配置是否一致，包括加密算法（authentication algorithm）、認證算法（encryption algorithm）和DH組標識（Diffie-Hellman group）等。
  

3.兩端設備的IKE版本不同

4.對端IP地址或對端域名配置錯誤

• 分別在NGFW_A和NGFW_B上執行命令display ike peer [ brief [ ipv6 ] | name peer-name ]，查看對端IP地址是否配置正確。
  

5.兩端設備的預共享密鑰配置不一致

6.未啟用NAT穿越功能

• 分別在NGFW_A和NGFW_B上執行命令display ike peer [ brief [ ipv6 ] | name peer-name ]，查看NAT穿越功能是否啟用。
  

7.兩端設備的IPSec安全提議配置不一致

• 分別在NGFW_A和NGFW_B上執行命令display ipsec proposal [ brief | name proposal-name ]，查看兩臺設備的IPSec安全提議配置是否一致，包括采用的安全協議，安全協議采用的認證算法和加密算法，報文封裝模式等。
  

8.兩端設備的PFS功能配置不一致

• 分別在NGFW_A和NGFW_B上執行命令display ipsec policy [ brief | name policy-name [ seq-number | extend-acl ] ]，查看兩臺設備的PFS功能配置是否一致。
  

9.IPSec安全策略順序號配置錯誤

• 分別在NGFW_A和NGFW_B上執行命令display ipsec policy [ brief | name policy-name [ seq-number | extend-acl ] ]，查看兩臺設備的IPSec安全策略順序號。
  

10.IPSec安全策略應用在錯誤的接口上

• 分別在NGFW_A和NGFW_B上執行命令display ipsec policy [ brief | name policy-name [ seq-number | extend-acl ] ]，查看IPSec安全策略是否應用在正確的接口上。
  

11.SA超時時間配置過小

• 如果用戶頻繁斷開連接，原因可能是IKE SA超時時間配置過小。IKE SA超時時間缺省為86400秒。

• 執行命令display ike proposal，查看IKE SA的超時時間

12.路由配置錯誤

13.安全策略配置錯誤

14.NAT策略配置錯誤

15.沒有清除舊的或已經存在的SA（安全聯盟）

• 清除IKE SA（reset ike sa）和IPSec SA（reset ipsec sa）是最簡單和常見的解決IPSec VPN故障的方法。當管理員修改或增加IPSec配置後，一般都需要清除舊的或已經存在的SA。

轉載 http://dadiwm.blog.51cto.com/1773851/1783449/

本文出自 “Garrett” 博客，請務必保留此出處http://garrett.blog.51cto.com/11611549/1983607

IPsec VPN詳解--驗證配置