https://support.huawei.com/enterprise/zh/knowledge/KB1000052773
目录
问题描述
如图42-1所示组网中,在使用IKEv1的IPSec协商时,无论采用主模式还是野蛮模式,第二阶段SA即IPSec SA均建立不成功。
图42-1 IPSec VPN组网图
图42-1 IPSec VPN组网图
建议与总结
建议IPSec隧道两端配置的ACL规则互为镜像。配置为镜像不是必要条件,不过实际应用中配置成镜像更简单也不易出错。一般来讲,只要发起方配置的ACL规则范围比响应方小就可以。采用IKEv2进行协商时,双方ACL规则取交集。
对于IKEv1方式建立的IPSec隧道,如果本端ACL配置错误,那从本端内网ping对端内网,则执行display ike sa命令发现两阶段SA均未建立无显示,且display acl acl-number发现ACL的匹配次数不变。如果对端ACL配置错误,那从本端内网ping对端内网,则执行display ike sa命令发现只有第一阶段建立成功,且display acl acl-number发现ACL的匹配次数增加。
对于IKEv2方式建立的IPSec隧道,如果IPSec安全提议或ACL配置错误,对于某些版本的设备,执行display ike sa命令可能查看到两个阶段的SA均未建立。
对于IKEv1方式建立的IPSec隧道,如果本端ACL配置错误,那从本端内网ping对端内网,则执行display ike sa命令发现两阶段SA均未建立无显示,且display acl acl-number发现ACL的匹配次数不变。如果对端ACL配置错误,那从本端内网ping对端内网,则执行display ike sa命令发现只有第一阶段建立成功,且display acl acl-number发现ACL的匹配次数增加。
对于IKEv2方式建立的IPSec隧道,如果IPSec安全提议或ACL配置错误,对于某些版本的设备,执行display ike sa命令可能查看到两个阶段的SA均未建立。
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/5755.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
作者:hqy | 分类:Network | 浏览:264 | 评论:0
官码2024000195号
萌ICP备20248119号
