• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

f1030防火墙IPSEC单通

2025-05-17提问
  • 0关注
  • 0收藏,529浏览
粉丝:0人 关注:0人

问题描述:

 

 

 

总部华为ar6300路由器,分公司华三F1030防火墙,做了IPSEC,之前两端网段互通正常,今天把分公司下的192.168.90网段服务器搬到了总部,然后总部添加了192.168.90网段到分公司192.169.0网段的IPSEC数据流,很奇怪 ,192.168.90能访问192.169.0,但是192.169.0访问不了总部192.168.90,分公司路由追踪到192.168.90网段,到中途公网IP后就全是星号了,感觉是到不了总部,几个网段的结果 都不一样

C:\Users\ynww>tracert 192.168.254.100

 

通过最多 30 个跃点跟踪到 192.168.254.100 的路由

 

  1     *        *        *     请求超时。

  2    <1 毫秒   <1 毫秒   <1 毫秒 10.1.3.1

  3    <1 毫秒   <1 毫秒   <1 毫秒 10.1.2.1

  4    55 ms     1 ms     1 ms  61.166.187.113

  5     2 ms     7 ms     7 ms  182.242.3.241

  6     1 ms     7 ms     7 ms  182.242.0.2

  7     2 ms     2 ms     2 ms  106.57.243.14

  8     1 ms     1 ms     1 ms  61.138.192.49

  9     *        *        *     请求超时。

 10     *        *        *     请求超时。

 11     *        *        *     请求超时。

 

C:\Users\ynww>tracert 192.168.92.32

 

通过最多 30 个跃点跟踪到 192.168.92.32 的路由

 

  1     *        *        *     请求超时。

  2    <1 毫秒   <1 毫秒   <1 毫秒 10.1.3.1

  3    <1 毫秒   <1 毫秒   <1 毫秒 10.1.2.1

  4     *        *        *     请求超时。

  5     *        *        *     请求超时。

  6     1 ms     1 ms     1 ms  192.168.92.32

 

跟踪完成。

 

C:\Users\ynww>ping 192.168.92.32

 

正在 Ping 192.168.92.32 具有 32 字节的数据:

来自 192.168.92.32 的回复: 字节=32 时间=1ms TTL=59

来自 192.168.92.32 的回复: 字节=32 时间=2ms TTL=59

请求超时。

来自 192.168.92.32 的回复: 字节=32 时间=2ms TTL=59

 

192.168.92.32 的 Ping 统计信息:

    数据包: 已发送 = 4,已接收 = 3,丢失 = 1 (25% 丢失),

往返行程的估计时间(以毫秒为单位):

    最短 = 1ms,最长 = 2ms,平均 = 1ms

 

 

 

2 个回答
已采纳
粉丝:58人 关注:2人

你这个不对呀,这都走公网去了,没进隧道,你检查一下感兴趣流配置吧


看看你ACL怎么写的。这个问题的看到两端配置后在确定了

zhiliao_h907dg 发表时间:2025-05-20 更多>>

每个网段都一样做的啊,所以奇怪 。就是因为都出公网了,但是又到了不对端

zhiliao_ewjb4a 发表时间:2025-05-17

而且几个网段都是一个IPSEC通道,另个通这个不通

zhiliao_ewjb4a 发表时间:2025-05-17

看看你ACL怎么写的。这个问题的看到两端配置后在确定了

zhiliao_h907dg 发表时间:2025-05-20
粉丝:1人 关注:1人

H3C设备看tracert结果要在后台配ip unreach en/ip ttl en,否则不响应tracert

回复SoryuAkane:

不会看啊,怎么搞

zhiliao_ewjb4a 发表时间:2025-05-17 更多>>

开了。还是一样,我是奇怪 为啥会出现 这种单通的情况?IPSEC数据流配置肯定是没问题了,每个网段都一样

zhiliao_ewjb4a 发表时间:2025-05-17

估计要么就是流量被nat转换了,或者说没有被esp封装上隧道

SoryuAkane 发表时间:2025-05-17
回复SoryuAkane:

但是NAT的ACL是写了拒绝的,那这种没封装上要怎么处理

zhiliao_ewjb4a 发表时间:2025-05-17

直接在防火墙web界面开个报文示踪看一眼真实流量走向呗,有esp封装过去就不管,没封装就是路由或ipsec有问题

SoryuAkane 发表时间:2025-05-17
回复SoryuAkane:

不会看啊,怎么搞

zhiliao_ewjb4a 发表时间:2025-05-17

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明