|
知识路径: > 网络技术 > 网络互联 > IPSec配置与测试 > 常见的故障 >
|
相关知识点:2个
|
|
|
|
IPSec业务不通时,执行命令display ike sa,发现IKE SA没有协商成功。IKE SA协商失败时,显示信息为空、Flag参数为空或者Peer参数为0.0.0.0。
|
|
|
排错方法1:使用命令display ike proposal,查看IKE对等体间的IKE安全提议是否一致,如果不一致需要配置一致。例如检查发现认证算法不一致。
|
|
|
|
|
|
|
排错方法2:使用命令display ike peer,查看对等体视图下的配置是否有遗漏或配置错误。检查是否配置对端IP地址。
|
|
|
采用ACL方式建立IPSec隧道时,如果IKE协商采用主模式,则设备必须指定对端的IP地址,而且两端指定的对端IP地址要相互匹配。
|
|
|
例如IKE协商的发起方和响应方的IP地址分别为10.1.1.2和10.2.1.2,配置如下所示。
|
|
|
|
|
|
|
对端outbound的spi值与本端的inbound不同或配置的策略不同(esp、ah)。
|
|
|
判断方法和解决方案为:检查双方的配置信息,尤其是在IPSec-manual方式下检查双方的SPI值是否按方向(inbound、outbound)匹配。而在IPSec-isakmp下,则可能是协商出错。
|
|
|