MSR3610

ipsec vpn是比较常用的一种vpn。相信各位小伙伴在使用ipsec  vpn的过程中也碰到过不少问题。今天我们就总结一下遇到ipsec问题后，我们该如何去应对。ipsec最常见的问题有两种，一种是ipsec隧道建立不起来，另一种是ipsec隧道能正常建立但是两端内网不通。

一   ipsec隧道建立不起来

      ipsec隧道建立不起来，一般可以按以下步骤去排查一遍。

      1、首先要保证建立ipsec vpn的两端设备公网能相互ping通，保证ip网络可达性，udp500以及udp4500端口没有被安全策略阻断。

      2、检查两边的ike sa（即ike安全提议）和ipsec sa（即ipsec安全提议）。有些设备也称为ipsec第一阶段安全提议和ipsec第二阶段安全提议。一定要保证两边的ike sa和ipsec sa配置一致。不同厂家对接的时候，默认参数可能不一样，有些参数叫法也可能不一样。这个必须两边核实清楚。保证两边的参数配置完全相同。

      3、两边预共享秘钥配置不一样，这个一般可能是人为的疏忽导致。输入密码的时候注意键盘大小写是否开启，键盘按键是否正常。一般小心输入就没问题。

      4、ike对等体remote地址不匹配。这个地方要配置对端建立ipsec隧道的地址，并且不要书写错误了。认真比对一下。

      5、ipsec与nat配置在同一个设备上。要保证，设备自身发出的报文不要被nat，并且ipsec业务报文也不要被nat，否则无法匹配ipsec的安全acl。这个重点要检查nat策略。对ipsec的业务流量要配置不做nat的策略。

      6、安全acl两边配置的不一致。建议是两边配置互为镜像，即两边的acl源目ip位置互换。这个需要认真比对两边的acl配置。

      7、中间有nat设备的场景中，要开启nat穿越功能。现在USG6000e系列的防火墙设备默认都是开启NAT穿越功能的。为了方便，建议无论在那种场景下两边的设备都开启nat穿越功能。

二   ipsec隧道能正常建立但是两端内网不通

      1、可以通过display   ipsec   sa命令查看两端协商的被保护数据流是否有冲突。如果没有包含需要保护的网段。就要调整安全acl的配置。看看掩码网段等是否配置缺失或者错误。

      2、检查两边是否都开启了NAT穿越功能。建议两边都开启。

      3、检查nat策略。确保被保护的安全acl的流量配置了不做nat的策略并且能命中。

      4、检查是否配置了nat server，检查流量是否命中nat server反向会话。测试的时候可以先关闭映射或者使用没有做过映射的ip地址来测试。

      5、检查安全策略是否放行被保护的安全acl流量，并且能够命中。

      6、检查本端内网是否有到达对端内网网段的路由。防火墙单出口可以配置默认路由，多出口时需要配置静态路由。或者策略路由。

      7、多出口场景下要注意ipsec报文选择的路由是否正确。检查路由配置，确保被保护的流量走到正确的出接口。经常容易出现配置了错误的策略路由导致ipsec流量走到了错误的出口。或者是忘记配置ipsec流量的静态路由。

经过上述排查过程走一波基本能解决大部分的ipsec的问题了。