• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

MSR3610

2022-07-12提问
  • 0关注
  • 1收藏,1062浏览
junjia 零段
粉丝:0人 关注:0人

问题描述:

华三路由器可以重启ipsec服务吗 ipsec如何排查

组网及组网描述:


最佳答案

粉丝:20人 关注:2人

可以重启IPsec服务

reset ipsec sa

reset ike sa

清除掉一二阶段的安全联盟,重新协商即可


排查思路如下:



ipsec vpn是比较常用的一种vpn。相信各位小伙伴在使用ipsec  vpn的过程中也碰到过不少问题。今天我们就总结一下遇到ipsec问题后,我们该如何去应对。ipsec最常见的问题有两种,一种是ipsec隧道建立不起来,另一种是ipsec隧道能正常建立但是两端内网不通。


一   ipsec隧道建立不起来


      ipsec隧道建立不起来,一般可以按以下步骤去排查一遍。

      1、首先要保证建立ipsec vpn的两端设备公网能相互ping通,保证ip网络可达性,udp500以及udp4500端口没有被安全策略阻断。

      2、检查两边的ike sa(即ike安全提议)和ipsec sa(即ipsec安全提议)。有些设备也称为ipsec第一阶段安全提议和ipsec第二阶段安全提议。一定要保证两边的ike sa和ipsec sa配置一致。不同厂家对接的时候,默认参数可能不一样,有些参数叫法也可能不一样。这个必须两边核实清楚。保证两边的参数配置完全相同。

      3、两边预共享秘钥配置不一样,这个一般可能是人为的疏忽导致。输入密码的时候注意键盘大小写是否开启,键盘按键是否正常。一般小心输入就没问题。

      4、ike对等体remote地址不匹配。这个地方要配置对端建立ipsec隧道的地址,并且不要书写错误了。认真比对一下。

      5、ipsec与nat配置在同一个设备上。要保证,设备自身发出的报文不要被nat,并且ipsec业务报文也不要被nat,否则无法匹配ipsec的安全acl。这个重点要检查nat策略。对ipsec的业务流量要配置不做nat的策略。

      6、安全acl两边配置的不一致。建议是两边配置互为镜像,即两边的acl源目ip位置互换。这个需要认真比对两边的acl配置。

      7、中间有nat设备的场景中,要开启nat穿越功能。现在USG6000e系列的防火墙设备默认都是开启NAT穿越功能的。为了方便,建议无论在那种场景下两边的设备都开启nat穿越功能。


二   ipsec隧道能正常建立但是两端内网不通


      1、可以通过display   ipsec   sa命令查看两端协商的被保护数据流是否有冲突。如果没有包含需要保护的网段。就要调整安全acl的配置。看看掩码网段等是否配置缺失或者错误。

      2、检查两边是否都开启了NAT穿越功能。建议两边都开启。

      3、检查nat策略。确保被保护的安全acl的流量配置了不做nat的策略并且能命中。

      4、检查是否配置了nat server,检查流量是否命中nat server反向会话。测试的时候可以先关闭映射或者使用没有做过映射的ip地址来测试。

      5、检查安全策略是否放行被保护的安全acl流量,并且能够命中。

      6、检查本端内网是否有到达对端内网网段的路由。防火墙单出口可以配置默认路由,多出口时需要配置静态路由。或者策略路由。

      7、多出口场景下要注意ipsec报文选择的路由是否正确。检查路由配置,确保被保护的流量走到正确的出接口。经常容易出现配置了错误的策略路由导致ipsec流量走到了错误的出口。或者是忘记配置ipsec流量的静态路由。

经过上述排查过程走一波基本能解决大部分的ipsec的问题了。

可以开启IKE DPD功能

一二三四 发表时间:2022-07-12 更多>>

每次都需要重启服务,而且隔一段时间就会短

junjia 发表时间:2022-07-12

可以开启IKE DPD功能

一二三四 发表时间:2022-07-12
2 个回答
粉丝:103人 关注:0人

您好,可以的

1.17  IPsec显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后IPsec的运行情况,通过查看显示信息认证配置的效果。

在用户视图下执行reset命令可以清除IPsec统计信息。

表1-2 IPsec显示和维护

操作

命令

显示IPsec的全局配置信息

display ipsec global-info

显示IPsec安全策略的信息

display ipsec { ipv6-policy | policy } [ policy-name [ seq-number ] ]

显示IPsec安全策略模板的信息

display ipsec { ipv6-policy-template | policy-template } [ template-name [ seq-number ] ]

显示IPsec P2MP隧道表项的信息

display ipsec p2mp tunnel-table interface tunnel tunnel-number [ ipv4 | ipv6 ] [ slot slot-number ]

显示IPsec安全框架的信息

display ipsec profile [ profile-name ]

显示IPsec SA的相关信息

display ipsec sa [ brief | count | interface interface-type interface-number | { ipv6-policy | policy } policy-name [ seq-number ] | profile profile-name | remote [ ipv6 ] ip-address ]

显示IPsec处理报文的统计信息

display ipsec statistics [ tunnel-id tunnel-id ]

显示IPsec安全提议的信息

display ipsec transform-set [ transform-set-name ]

显示IPsec隧道的信息

display ipsec tunnel { brief | count | tunnel-id tunnel-id }

清除已经建立的IPsec SA

reset ipsec sa [ { ipv6-policy | policy } policy-name [ seq-number ] | profile policy-name | remote { ipv4-address | ipv6 ipv6-address } | spi { ipv4-address | ipv6 ipv6-address } { ah | esp } spi-num ]

清除IPsec的报文统计信息

reset ipsec statistics [ tunnel-id tunnel-id ]

粉丝:167人 关注:1人

可以,reset ike sa、reset ipsec sa即可

排错参考:

IPSEC排错点穴神功

http://www.h3c.com/cn/d_201411/921533_30005_0.htm

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明