我们知道ipsec排错的时候有一个大招,也是之前做实验的时候有同学会使用的方法,因为配置成功之后,经常遇到很难找到是哪个细小的点出了问题。这时可以把两端设备配置导出到word当中,两个word同步对比,然后看一下两端配置参数是否一致,这样往往可以快速查出故障,但是前提条件是,两端的配置至少有一端是正确的。否则,嘿嘿,如果两端都忘记了某一配置,那就很难查出来了。

    比对配置是一种方法,那么这里再说一种方法。

    我们知道在配置VPN之前肯定是先要保证公网通信,所以我们先要查看是否已经部署了去往公网的默认路由。

    当然我们往往会部署一条去往公网的默认路由。
    ip route-static 0.0.0.0 0.0.0.0 s0/0

    然后去看一下感兴趣流
    Display acl all
    在现象当中会看到有匹配次数【match times n】

    1. [H3C]disp acl all
    2. Advanced IPv4 ACL 3000, 1 rule,
    3. ACL's step is 5
    4.  rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 (24 times matched)

    如果没有看到匹配次数
    那么我们要进一步查看是什么原因。
    要看一下在ipsec policy当中是否调用感兴趣流,以及接口是否下发该ipsec策略。
    最直接的方法就是,在接口下,通过display this查看

    接着我们还要看一下,IKE的相关配置。
    比如IKE当中两端预共享密钥的配置,身份标识符的配置。
    注意:经常有同学在配置野蛮模式时,忘记敲:exchange-mode aggressive

    如果以上没有问题,那么要继续往下
    ipsec的加密形式的配置,加密协议是否一致,工作方式,以及加密算法,验证算法。

    两端一定要配置一致。V5设备当中有默认加密、验证的DES和MD5,但到了V7设备需要单独配置。

    1、感兴趣流
    两端感兴趣流在书写时不能完全镜像
    2、Ike keychain名称过于复杂导致调用出错
    3、两端业务流地址漏配置,导致VPN已经触发,但是ping100%丢包