我们知道ipsec排错的时候有一个大招,也是之前做实验的时候有同学会使用的方法,因为配置成功之后,经常遇到很难找到是哪个细小的点出了问题。这时可以把两端设备配置导出到word当中,两个word同步对比,然后看一下两端配置参数是否一致,这样往往可以快速查出故障,但是前提条件是,两端的配置至少有一端是正确的。否则,嘿嘿,如果两端都忘记了某一配置,那就很难查出来了。
比对配置是一种方法,那么这里再说一种方法。
我们知道在配置VPN之前肯定是先要保证公网通信,所以我们先要查看是否已经部署了去往公网的默认路由。
当然我们往往会部署一条去往公网的默认路由。ip route-static 0.0.0.0 0.0.0.0 s0/0
然后去看一下感兴趣流
Display acl all
在现象当中会看到有匹配次数【match times n】
[H3C]disp acl all
Advanced IPv4 ACL 3000, 1 rule,
ACL's step is 5
rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 (24 times matched)
如果没有看到匹配次数
那么我们要进一步查看是什么原因。
要看一下在ipsec policy当中是否调用感兴趣流,以及接口是否下发该ipsec策略。
最直接的方法就是,在接口下,通过display this查看
接着我们还要看一下,IKE的相关配置。
比如IKE当中两端预共享密钥的配置,身份标识符的配置。
注意:经常有同学在配置野蛮模式时,忘记敲:exchange-mode aggressive
如果以上没有问题,那么要继续往下
ipsec的加密形式的配置,加密协议是否一致,工作方式,以及加密算法,验证算法。
两端一定要配置一致。V5设备当中有默认加密、验证的DES和MD5,但到了V7设备需要单独配置。
1、感兴趣流
两端感兴趣流在书写时不能完全镜像
2、Ike keychain名称过于复杂导致调用出错
3、两端业务流地址漏配置,导致VPN已经触发,但是ping100%丢包