https://forum.huawei.com/enterprise/zh/thread/580939015723565056
ipsec业务不通的可能情况
1、DPD超时。ike dpd msg { seq-hash-notify | seq-notify-hash },配置DPD报文中的载荷顺序。
缺省情况下,DPD报文中的载荷顺序为seq-hash-notify。
两端对等体配置的DPD报文中的载荷顺序需要一致,否则对等体存活检测功能无效。
2、感兴趣流写的tcp,但是却用ping测试的
3、TCP MSS值不合理导致IPSec业务时通时断
https://support.huawei.com/hedex/hdx.do?docid=EDOC1000160161&id=ZH-CN_TOPIC_0115420505&lang=zh
修改TCP MSS值。
<FW1> system-view
[FW1] firewall tcp-mss 1200
修改后,PC可以从文件服务器上下载资源。
4、业务流丢包,做丢包统计显示是IPSec succcheck failed packets discarded", "IPSEC后反查失败丢包统计"},或者是后反查丢包
关闭前反查后正常:
ipsec pre-check enable
命令功能
ipsec pre-check enable命令用来开启明文报文IPSec前反查功能。
undo ipsec pre-check命令用来关闭明文报文IPSec前反查功能。
缺省情况下,明文报文IPSec前反查功能处于开启状态。
https://support.huawei.com/hedex/hdx.do?docid=EDOC1100122844&id=ZH-CN_CLIREF_0176375210&lang=zh
流量匹配了感兴趣流,但没有走ipsec,所以丢弃了。
5、当FW与AR路由器对接,且安全提议的认证算法为SHA2-256时,如果两端的加密解密方式不一致,则IPSec报文会被丢弃。此时,需在AR路由器上执行命令ipsec authentication sha2 compatible enable使得两端的SHA-2加密解密方式一致。
6、没有放行esp
7、多出口负载,回包走了其它出口
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/5752.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
