|
|
知识路径: > 网络技术 > 网络互联 > IPSec配置与测试 >
|
|
相关知识点:10个
|
|
|
|
|
|
|
问题描述:在IPSec-manual或IPSec-isakmp方式下,双方配置好后或双方协商通过后,仍然无法相互通信。同时若打开debug crypto packet,则会出现以下信息:
|
|
|
|
|
|
原因:对端的outbound的spi值与本端的inbound不同或配置的配置策略不同(esp、ah)。
|
|
|
|
判断方法和解决方案:检查双方的配置信息,尤其是在IPSec-manual方式下,检查双方的SPI值是否按方向(inbound、outbound)匹配。而在IPSec-isakmp方式下,则可能是协商出错。
|
|
|
|
|
|
问题描述:在IPSec-manual方式下,双方配置好后,仍然无法相互通信。同时若打开debug crypto packet,则会出现以下信息:
|
|
|
|
|
|
原因:对端的outbound的配置策略和本地不同(esp、ah)。
|
|
|
|
判断方法和解决方案:检查双方的配置信息,很可能是对端策略配置为esp,而本端策略为ah+esp。
|
|
|
|
|
|
问题描述:在IPSec-manual方式下,双方配置好后,仍然无法相互通信。同时若打开debug crypto packet,则会出现以下信息:
|
|
|
|
|
|
原因:对端的outbound的加密密钥与本端的inbound的不同。
|
|
|
|
判断方法和解决方案:检查对端的outbound的加密密钥和本端的inbound的加密密钥,务必使两者相同。
|
|
|
|
|
|
问题描述:在IPSec-manual方式下,双方配置好后,仍然无法相互通信。同时若打开debug crypto packet,则会出现以下信息:
|
|
|
|
|
|
原因:对端的outbound的ESP或AH验证密钥与本端的inbound的不同。
|
|
|
|
判断方法和解决方案:检查对端的outbound的ESP或AH验证密钥和本端的inbound的验证密钥,务必使两者相同。
|
|
|
|
|
|
问题描述:在IPSec-manual方式下,双方配置好后,仍然无法相互通信。同时若打开debug crypto packet,则会出现以下信息:
|
|
|
|
|
|
原因:IPSec处理完成的包与相应的access-list不同,子MAP的访问列表配置有问题。
|
|
|
|
判断方法和解决方案:检查本端sub_map配置的access-list是否符合进行IPSec通信的要求。
|
|
|
|
|
|
问题描述:在IPSec-isakmp方式下,双方配置好后,由对端开始发起协商,无法进行通信,show crypto isakmp sa也没有发现和当前通信相关的成功的SA信息。在协商的同时若打开debug crypto isakmp,则会出现以下信息:
|
|
|
|
|
|
|
|
判断方法和解决方案:检查两端的ISAKMP.Policy是否相同,尤其是对端的lifetime值不能大于本地的lifetime值。
|
|
|
|
|
|
问题描述:在IPSec-isakmp方式下,双方配置好后,由对端开始发起协商,无法进行通信,show crypto ipsec sa也没有发现和当前通信相关的成功的SA信息。在协商的同时若打开debug crypto isakmp,则会出现以下信息:
|
|
|
|
|
|
|
|
判断方法和解决方案:检查两端的相应的transform-set是否匹配,相应的sub_map下的pfs属性是否相同。
|
|
|
|
|
|
问题描述:在IPSec-isakmp方式下,双方配置好后,由对端开始发起协商,无法进行通信,show crypto ipsec sa也没有发现和当前通信相关的成功的SA信息。在协商的同时若打开debug crypto isakmp,则会出现以下信息:
|
|
|
|
|
|
|
|
判断方法和解决方案:检查两端相应的sub_map下的规则(access-list)是否匹配。
|
|
|
|
|
|
问题描述:在IPSec-isakmp方式下,双方配置好后,由本端开始发起协商,无法进行通信,show crypto isakmp sa也没有发现和当前通信相关的成功的SA信息。在协商的同时若打开debug crypto isakmp,则会出现以下信息:
|
|
|
|
|
|
|
|
判断方法和解决方案:检查两端的ISAKMP-Policy是否匹配。
|
|
|
|
|
|
问题描述:在IPSec-isakmp方式下,双方配置好后,由本端开始发起协商,无法进行通信,show crypto isakmp sa发现和当前通信相关的成功(M_SA_SETUP)的SA信息,但是show crypto ipsec sa无相关的SA信息。在协商的同时若打开debug crypto isakmp,则会出现以下信息:
|
|
|
|
|
|
原因:双方配置的IPSec策略不匹配,或配置的规则(access-list)不匹配。
|
|
|
|
判断方法和解决方案:检查两端的相应的transform-set是否匹配,相应的sub_map下的pfs属性和规则(access-list)是否匹配。
|
|
|
|
|
|
问题描述:在IPSec-isakmp方式下,双方配置好后,由一方开始发起协商,无法进行通信,show crypto ipsec sa无相关的SA信息。在协商的同时若打开debug crypto isakmp,则会出现以下信息:
|
|
|
|
|
|
|
|
判断方法和解决方案:改变对端设置,更换一种模式(比如由Aggressive模式换成Main模式)。
|
|
|
