技术文档
当前位置:技术文档

H3C IPSEC VPN智能选路故障记录

来源:未知 时间:2022-08-01 11:01
 

   

  问题1:分支IPSEC智能选路之前好好的,今天发现电信那条路切不过去了,display ipsec smart-link policy 发现电信那条路LOSS 100%;

  问题2:上面问题处理完后,下面又出新问题,在ipsec smart-link policy 手动切成电信正常通信,IPSEC SA也正常,手动切成移动,不能通信,IPSEC SA也正常。

  问题1:分支IPSEC智能选路之前好好的,今天发现电信那条路切不过去了,display ipsec smart-link policy 发现电信那条路LOSS 100%;

  问题2:上面问题处理完后,下面又出新问题,在ipsec smart-link policy 手动切成电信正常通信,IPSEC SA也正常,手动切成移动,不能通信,IPSEC SA也正常。

  问题描述问题1:需要把电信那条链路为啥智能选路判定故障解决;

  问题2:需要让切换后随便哪条正常。

  过程分析问题1:首先Ping -a 1.1.1.10 3.3.3.10 , 发现正常,(这个地址为分部的公网地址,和总部公网地址),查看路由发现切换成电信链路时,IKE里的感兴趣流ACL里没有自动的一条,路由表里也没有,这个我就不打字了,稍后在解决里贴图。

  问题2:查看分部IPSEC SA,一切正常,后面查看总部,display ipsec sa remote 1.1.1.1 和 2.2.2.2 发现分部的电信和移动都有IPSEC SA ,有用户视图下>reset ipsec sa remote 1.1.1.1 , 发现移动的就好了。

  解决方法问题1:在ipsec里加入反向路由,reverse-route dynamic(还有一个路由表里不用加静态路由,负载均衡会自动生成等价路由,我开始移动优先级用60,电信用69,然后电信那条还是会有问题,变成等价就好了)

  


 

  问题2:知道是有残留IPSEC sa,于是在总部配置了DPD检测,这个手动切过,大概丢了5-10个包就恢复正常了。

  



上一篇:MSG330-W双WAN口配置上网无法访问专线问题处理
下一篇:华为5731交换机用VPLS实现E-Tree功能介绍
蜀ICP备2020034250号-1   川公网安备 51010802000119号 keywords:成都H3C 成都H3C

售前客服

售前客服

电话:028-83252151

传真:028-85259033

咨询热线:15378180513
在线客服