1.故障一:IPsec VPN隧道無法建立
可能的原因:
(1)兩端VPN設備無法互通
判斷方法和解決方案:
從一端VPN設備ping另外一端,看是否能否ping通。如果不通,檢查網絡連接情況。防攻擊軟件,安全網關防火墻,天泰WEB應用防火墻
(2)兩端VPN可以ping通,但是相互收不到IKE協商報文
判斷方法和解決方案:
●檢查VPN是否配置ACL或者前端是否有防火墻,禁止了IKE協商報文,需要在ACL或者防火墻上開放UDP500/4500端口;
●檢查發起方VPN的內網口是否UP,特別是3005C-104以SW接口作為內網口,LAN口上沒有接PC,SW口無法UP,將導致擴展ping不通對端。
(3)兩端VPN采用證書認證方式,但是沒有證書或者證書無效;采用預共享密鑰方式認證沒有配置密碼
判斷方法和解決方案:
●通過show cry ike sa查看IKE隧道狀態沒有任何信息;
●打開debug cry ike normal,提示%IKE-ERR: can't initiate, no available authentication material (cert/psk) ;
●sh crypto ca certificates,查看證書是否有效。
(4)兩端IKE和IPsec策略不一致
判斷方法和解決方案:
●如果采用主模式,查看IKE狀態停止在STATE_MAIN_I1,采用積極模式,IKE狀態停止在STATE_AGGR_I1,說明可能是兩端策略不一致,通過show cry ike proposal和show cry ipsec proposal查看兩端策略是否相同;
●打開debug cry ike normal,提示ignoring notification payload, type NO_PROPOSAL_CHOSEN。
(5)兩端VPN設備配置了ID不是IP地址作為身份標識,而是域名或者其他,但是采用IKE協商采用主模式
判斷方法和解決方案:
●查看IKE KEY配置了identity,但是tunnel配置中配置了set mode main;
●查看IKE狀態停止在STATE_MAIN_I1狀態。
(6)對端VPN設備配置錯誤ID或者沒有配置ID
判斷方法和解決方案:
●查看IKE KEY配置了identity,但是tunnel配置中沒有配置ID;
●查看IKE狀態停止在STATE_AGGR_I1狀態;
●有%IKE-ERR: Aggressive Mode packet from 20.0.0.2:500 has invalid ID報錯。
(7)兩端VPN設備不支持NAT穿越
判斷方法和解決方案:
●如果采用主模式,查看IKE狀態停止在STATE_MAIN_I2狀態,說明有可能VPN不支持NAT穿越,我們VPN默認支持,一般可能其他廠家VPN不支持。
(8)兩端VPN設備預共享密鑰不一致
判斷方法和解決方案:
●如果采用主模式,查看IKE狀態停止在STATE_MAIN_I3狀態,說明有可能兩端VPN預共享密鑰配置不一致;
●通過show run cry key查看兩端的KEY是否相同。
(9)兩端保護數據流不匹配
判斷方法和解決方案:
●查看IKE狀態停止在STATE_QUICK_I1狀態,說明有可能兩端VPN預共享密鑰配置不一致;
●通過show cry ipsec sa查看沒有ipsec隧道;
●日志中有報錯:%IKE-ERR: cannot respond to IPsec SA request for instance-65666: 30.0.0.0/8:0/0 === 20.0.0.2 (20.0.0.2)... 20.0.0.1 (20.0.0.1)=== 192.168.0.0/16:0/0
河南金宏達網絡科技有限公司是一家專業從事網絡產品、綜合布線產品、網絡安全軟件、及計算機相關產品的渠道分銷、系統集成、計算機軟硬件產品開發的高科技企業,金宏達網絡專業提供網絡安全審計,網絡審計系統,防攻擊軟件,安全網關防火墻等系列網絡產品。
金宏達網絡主打網絡產品品牌有:銳捷、華為、思科、TG-NET、艾泰、網康、天泰、安達通等。綜合布線產品有:美國百盛網線、吉爾格勒網線、綠色陽光網線、網普機柜、光棱光纖等系列產品。
產 品 網 站:
400:
劉 經理:
地 址:鄭州市金水區文化路東風路交叉口數碼港17樓
