技术文档
当前位置:技术文档

MSR 3610无法建立IPSec的故障排查

来源:未知 时间:2022-07-28 09:49
 

      隧道无法建立,查看ike sa是未知状态

display ike sa

  Connection-ID Local Remote Flag DOI

  -----------------------------------------------------------------------------------

  482 222.222.4.103 218.12.25.226 Unknow IPSec

  过程分析IPSec无法建立,首先检查两端配置,确保加密和认证算法相同,本端和对端地址正确,感兴趣对称。检查配置后发现都正确,没有发现问题。

  然后收集debug ike sa和debug ipsec sa进行分析。

  本端:

  *Jul 16 12:23:41:198 2021 H3C IKE/7/EVENT: vrf = 0, local = 222.222.4.103, remote = 218.12.25.226/500 Retransmission of phase 1 packet timed aout.

  *Jul 16 12:23:41:198 2021 H3C IKE/7/ERROR: vrf = 0, local = 222.222.4.103, remote = 218.12.25.226/500 Failed to negotiate IKE SA.

  对端:

  *Jul 16 12:24:38:954 2021 H3C IKE/7/EVENT: vrf = 0, local = 218.12.25.226, remote = 222.222.4.103/500 Retransmission of phase 1 packet timed out.

  *Jul 16 12:24:38:954 2021 H3C IKE/7/ERROR: vrf = 0, local = 218.12.25.226, remote = 222.222.4.103/500 Failed to negotiate IKE SA.

  从两边的debug可以看到都是相同的报错,重传超时,并没有提示参数上的问题,且500端口也是放通的。

  为了进一步确认配置,在本地实测,两台路由器设备直连,将现场两端设备相关配置导入,发现能够正常建立隧道,说明配置正确,没有问题。

  后续向现场了解到,一端的设备出口走的移动,另一端的设备出口走的联通。结合本地测试结果,怀疑是两端跨了运营商导致报文传输被丢弃。

  于是建议现场修改一台设备的配置,走相同运营商接口,修改接口配置后,隧道能正常建立起来,证明确实是跨运营商导致报文被丢弃。

  解决方法修改两端走同一运营商链路。


上一篇:H3C AC本地portal认证页面自定义的方法
下一篇:华为S5720S-52X-SI-AC交换机二层组播业务不同步
蜀ICP备2020034250号-1   川公网安备 51010802000119号 keywords:成都H3C 成都H3C

售前客服

售前客服

电话:028-83252151

传真:028-85259033

咨询热线:15378180513
在线客服