五.常用故障调试命令

[H3C]disike sa

<H3C>debugging ipsec sa

<H3C>debugging ike sa

<H3C>terminal debugging

<H3C>terminal monitor

<H3C>display ipsec sa policy

配置完成后，发现网络A和网络B的用户不能相互访问。

可能原因

1.流量未匹配ACL规则

• 执行命令display acl acl-number，查看流量是否匹配了IPSec的ACL规则。

2.两端设备的IKE安全提议配置不一致

• 分别在NGFW_A和NGFW_B上执行命令display ike proposal，查看两台设备的IKE安全提议配置是否一致，包括加密算法（authentication algorithm）、认证算法（encryption algorithm）和DH组标识（Diffie-Hellman group）等。

3.两端设备的IKE版本不同

4.对端IP地址或对端域名配置错误

• 分别在NGFW_A和NGFW_B上执行命令display ike peer [ brief [ ipv6 ] | name peer-name ]，查看对端IP地址是否配置正确。

5.两端设备的预共享密钥配置不一致

6.未启用NAT穿越功能

• 分别在NGFW_A和NGFW_B上执行命令display ike peer [ brief [ ipv6 ] | name peer-name ]，查看NAT穿越功能是否启用。

7.两端设备的IPSec安全提议配置不一致

• 分别在NGFW_A和NGFW_B上执行命令display ipsec proposal [ brief | name proposal-name ]，查看两台设备的IPSec安全提议配置是否一致，包括采用的安全协议，安全协议采用的认证算法和加密算法，报文封装模式等。

8.两端设备的PFS功能配置不一致

• 分别在NGFW_A和NGFW_B上执行命令display ipsec policy [ brief | name policy-name [ seq-number | extend-acl ] ]，查看两台设备的PFS功能配置是否一致。

9.IPSec安全策略顺序号配置错误

• 分别在NGFW_A和NGFW_B上执行命令display ipsec policy [ brief | name policy-name [ seq-number | extend-acl ] ]，查看两台设备的IPSec安全策略顺序号。

10.IPSec安全策略应用在错误的接口上

• 分别在NGFW_A和NGFW_B上执行命令display ipsec policy [ brief | name policy-name [ seq-number | extend-acl ] ]，查看IPSec安全策略是否应用在正确的接口上。

11.SA超时时间配置过小

• 如果用户频繁断开连接，原因可能是IKE SA超时时间配置过小。IKE SA超时时间缺省为86400秒。
• 执行命令display ike proposal，查看IKE SA的超时时间

12.路由配置错误

13.安全策略配置错误

14.NAT策略配置错误

15.没有清除旧的或已经存在的SA（安全联盟）

• 清除IKE SA（reset ike sa）和IPSec SA（reset ipsec sa）是最简单和常见的解决IPSec VPN故障的方法。当管理员修改或增加IPSec配置后，一般都需要清除旧的或已经存在的SA。

转载 http://dadiwm.blog.51cto.com/1773851/1783449/