华三防火墙F1000-T200与华三路由器ER8300G2-X IPSec感兴趣流业务不能互访

由于IPSEC涉及加密，所以一般使用如下方法进行排查

Ping一定数量的报文，比如5个包，然后WEB界面同时抓包以及命令行查看会话以及IPSEC统计

1.      单独创建一条测试ACL规则（32位反掩码，对端也要同步修改，并且ACL不同规则的刚兴趣流不能与这个32位的冲突），让重新协商出一条IPSEC SA

2、可以通过以下命令来查看IPSEC统计

先通过display ipsec sa verbose看一下的对应感兴趣流对应的tunne-id号是多少

然后再通过如下命令看IPSEC统计

看之前先清除一下

<h3c?reset ipsec  statistics

<PA-IDC-SZ-BRANCH-VPN-196-AB>dis ipsec statistics tunnel-id 1755

内层看会话，加上verbose(源目IP以现场实际情况为准)

查看会话的时候，必须提前打开会话统计功能

session statistics enable

<F1090-IRF>display  session table ipv4 source-ip  10.0.0.1 destination-ip 20.0.0.1 verbose

WEB界面抓包的ACL，感兴趣流域加密后的都写，一共四条

本端内网到对端内网

对端内网到本端内网

本端加密后地址到对端加密后地址

对端加密后地址到本端加密后地址

举例如下

抓包是没有收到对端加密后回包

IPSEC统计也是有发没收，需要保持32位掩码的条件下，需要现场在FW与深信服之间的设备，一跳跳查一下，查一下回包丢在哪了，目前FW对报文都正常转发，没有看到问题

<CD-CGTC-FW.AK1130>dis session table ipv4 source-ip 192.168.30.19 destination-ip

10.1.4.134 verbose [1A[1D[Jdis ipsec statistics tunnel-id 14

  IPsec packet statistics:

    Received/sent packets: 0/4

    Received/sent bytes: 0/256

    Received/sent packet rate: 0/0 packets/sec

    Received/sent byte rate: 0/0 bytes/sec

Dropped packets (received/sent): 0/0

抓包的ESP加密报文只有125.71.226.186到112.94.14.46的，没有回包的