您好,请知:IPSEC VPN故障排查:1、检查公网地址的连通性2、检查ipsec acl是否配置正确(两端ACL以互为镜像的方式配置)3、检查ike keychain/ike profile 协商参数配置是否正确(工作模式、keychain、identity、本端/对端隧道地址或隧道名称、NAT穿越功能v7自适应)4、检查ipsec proposal(v5平台) /ipsec transform-set(v7平台)参数两端是否一致(封装模式、安全协议、验证算法、加密算法)5、检查设备是否创建ipsec策略,并加载协商参数(acl、ike profile 、ipsec transform-set、对端隧道IP)6、检查ipsec策略是否应用在正确的接口上 IPSEC排查命令:1、disp ipsec policy2、disp acl3、dis cu conf ike-profile4、dis cu conf ike-keychain5、display ike proposal6、display ipsec transform-set7、disp ike sa (verbose)8、disp ipsec sa9、reset ipsec sa10、reset ike sa
|