主模式,本端是分支,对端是总部,对接友商设备,查看有ike sa,但是没有ipsec sa,从防火墙Web页面看到IPSec VPN只有收没有发
检查IPSec配置和对端都一致,最后检查ACL配置,发现感兴趣流从上往下匹配,匹配到了一条没有写目的地址只写了源地址的规则,而且配成了允许,导致报文走了NAT,感兴趣流在这里是需要写目的地址的。
具体可以在触发IPsec的时候,display acl看一下具体规则后面括号的匹配次数,如果次数没有增加就怀疑是不是感兴趣流没有匹配上
删掉多余感兴趣流地址,调整deny的感兴趣流rule顺序
修改感兴趣流ACL注意在业务空窗期进行
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作