IPsec VPN详解--验证配置

五.常用故障调试命令

[H3C]disike sa

<H3C>debugging ipsec sa

<H3C>debugging ike sa

<H3C>terminal debugging

<H3C>terminal monitor

<H3C>display ipsec sa policy

配置完成后,发现网络A和网络B的用户不能相互访问。

可能原因

1.流量未匹配ACL规则

  • 执行命令display acl acl-number,查看流量是否匹配了IPSec的ACL规则。

2.两端设备的IKE安全提议配置不一致

  • 分别在NGFW_A和NGFW_B上执行命令display ike proposal,查看两台设备的IKE安全提议配置是否一致,包括加密算法(authentication algorithm)、认证算法(encryption algorithm)和DH组标识(Diffie-Hellman group)等。

3.两端设备的IKE版本不同

4.对端IP地址或对端域名配置错误

  • 分别在NGFW_A和NGFW_B上执行命令display ike peer [ brief [ ipv6 ] | name peer-name ],查看对端IP地址是否配置正确。

5.两端设备的预共享密钥配置不一致

6.未启用NAT穿越功能

  • 分别在NGFW_A和NGFW_B上执行命令display ike peer [ brief [ ipv6 ] | name peer-name ],查看NAT穿越功能是否启用。

7.两端设备的IPSec安全提议配置不一致

  • 分别在NGFW_A和NGFW_B上执行命令display ipsec proposal [ brief | name proposal-name ],查看两台设备的IPSec安全提议配置是否一致,包括采用的安全协议,安全协议采用的认证算法和加密算法,报文封装模式等。

8.两端设备的PFS功能配置不一致

  • 分别在NGFW_A和NGFW_B上执行命令display ipsec policy [ brief | name policy-name [ seq-number | extend-acl ] ],查看两台设备的PFS功能配置是否一致。

9.IPSec安全策略顺序号配置错误

  • 分别在NGFW_A和NGFW_B上执行命令display ipsec policy [ brief | name policy-name [ seq-number | extend-acl ] ],查看两台设备的IPSec安全策略顺序号。

10.IPSec安全策略应用在错误的接口上

  • 分别在NGFW_A和NGFW_B上执行命令display ipsec policy [ brief | name policy-name [ seq-number | extend-acl ] ],查看IPSec安全策略是否应用在正确的接口上。

11.SA超时时间配置过小

  • 如果用户频繁断开连接,原因可能是IKE SA超时时间配置过小。IKE SA超时时间缺省为86400秒。
  • 执行命令display ike proposal,查看IKE SA的超时时间

12.路由配置错误

13.安全策略配置错误

14.NAT策略配置错误

15.没有清除旧的或已经存在的SA(安全联盟)

  • 清除IKE SA(reset ike sa)和IPSec SA(reset ipsec sa)是最简单和常见的解决IPSec VPN故障的方法。当管理员修改或增加IPSec配置后,一般都需要清除旧的或已经存在的SA。

转载 http://dadiwm.blog.51cto.com/1773851/1783449/

时间: 2024-11-09 12:54:37

IPsec VPN详解--验证配置的相关文章

IPSec VPN详解

IPSec VPN详解 作者:Danbo 时间:2015-10-19 加密学原理 加密学必须具备以下三个特点:1.可用性(来源性):2.保密性:3.完整性(不被篡改): 加密方式按大类分为:对称和非对称加密 对称算法(symmetric algorithm):就是加密密钥能够从解密密钥中推算出来,反过来也成立.在大多数对称算法中,加密/解密密钥是相同的.最大的问题就是密钥的管理问题(分发.存储.吊销等),容易搜到中间拦截窃听,不支持数字签名和不可否认性.但是速度非常快(提供线速加密),对称加密得

IPsec VPN详解--nat穿越内网

四. NAT穿越内网路由VPN设置 如图1所示,Router A为某机构总部网关,Router D和Router E是两个分支网关,Router B和Router C为分支提供NAT转换.要求:为了接受协商发起端的访问控制列表设置,Router A采用安全模板方式分别与Router D和Router E建立IPsec VPN,为总部和分支流量进行加密传输. 图1 IPSec VPN多分支安全模板NAT穿越功能的配置举例组网图 设备 接口 IP地址 设备 接口 IP地址 Router  A Eth

IPsec VPN详解--拨号地址

三.拨号地址VPN设置 1. 组网需求 本例将 IPSec 和ADSL 相结合,是目前实际中广泛应用的典型案例. (1) Router B 通过ADSL 直接连接公网的DSLAM 接入端,作为PPPoE 的client端.RouterB 从ISP 动态获得的IP 地址为私网地址. (2)总公司局域网通过 Router A 接入到ATM 网络. (3)为了保证信息安全采用 IPSec/IKE 方式创建安全隧道. 2. 组网图 3.配置步骤 (1) 配置Router A # 配置本端安全网关设备名称

IPsec VPN详解--动态地址

二.  动态地址VPN设置 1. 组网需求 (1)        分公司 LAN 通过专线接入总公司内部网,Router A 的Serial2/0 接口为固定IP地址,Router B 动态获取IP 地址. (2)   分公司自动获得的 IP 地址为私有IP 地址,Router A 的Serial2/0 接口的IP 地址为公网地址,故Router B 上需要配置NAT 穿越功能. (3)   为了保证信息安全采用IPSec/IKE 方式创建安全隧道. 2. 配置步骤 (1)配置Router A

详解CentOS配置和管理web服务-Apache

详解CentOS配置和管理web服务-Apache 家住海边喜欢浪:zhang789.blog.51cto.com 目录 1.web介绍 2.web历史和工作原理 3.http请求流程 4.关于Apache 5.Apache服务器软件安装使用 6.符号链接和虚拟目录 7.页面重定向 8.Apache日志文件 9.Apache安全配置 10.虚拟主机 10.1.基于IP 10.2.基于域名 10.3.基于端口 web服务器配置和管理 http协议简介 http协议,全称HyperText Tran

Struts2配置详解_配置Action

Struts2的核心功能是action,对于开发人员来说,使用Struts2主要就是编写action,action类通常都要实现com.opensymphony.xwork2.Action接口,并实现该接口中的execute()方法. public String execute() throws Exception Struts2并不是要求所有编写的action类都要实现Action接口,也可以直接编写一个普通的Java类作为action,只要实现一个返回类型为String的无参的public方

【转】Hadoop安全模式详解及配置

原文链接 http://www.iteblog.com/archives/977 在<Hadoop 1.x中fsimage和edits合并实现>文章中提到,Hadoop的NameNode在重启的时候,将会进入到安全模式.而在安全模式,HDFS只支持访问元数据的操作才会返回成功,其他的操作诸如创建.删除文件等操作都会导致失败. NameNode在重启的时候,DataNode需要向NameNode发送块的信息,NameNode只有获取到整个文件系统中有99.9%(可以配置的)的块满足最小副本才会自

详解linux配置java环境变量

详解linux配置java环境变量 一. 解压安装jdk 在shell终端下进入jdk-6u14-linux-i586.bin文件所在目录, 执行命令 ./jdk-6u14-linux-i586.bin 这时会出现一段协议,连继敲回车,当询问是否同意的时候,输入yes,回车.之后会在当前目录下生成一个jdk1.6.0_14目录,你可以将它复制到 任何一个目录下. 二. 需要配置的环境变量 1. PATH环境变量.作用是指定命令搜索路径,在shell下面执行命令时,它会到PATH变量所指定的路径中

log4j.properties 详解与配置步骤(转)

找的文章,供参考使用 转自 log4j.properties 详解与配置步骤 一.log4j.properties 的使用详解 1.输出级别的种类 ERROR.WARN.INFO.DEBUGERROR 为严重错误 主要是程序的错误WARN 为一般警告,比如session丢失INFO 为一般要显示的信息,比如登录登出DEBUG 为程序的调试信息 2.配置日志信息输出目的地 log4j.appender.appenderName = fully.qualified.name.of.appender.