| 常见问题 >> IPSec VPN >> |
查看IPsec协商是否成功;查看是否配置了正确的策略,对应的策略动作为IPsec,并且策略配置了对应的VPN通道。
可以使用命令show ike
sa查看当前IKE SA的信息:
HOST# show ike
sa
----------------------------------------------------
Name: dut1 id: 3184
local_addr: 30.1.1.2
peer_addr: 30.1.1.3
stat: establish
life
time: 86390
*********************************************************
Data: ike
sa Total count: 1.
*********************************************************
可以使用命令show ipsec
sa查看当前IPsec sa的信息。
HOST# show ipsec
sa
----------------------------------------------------
Name: dut1 id: 4667
local_addr: 30.1.1.2
peer_addr: 30.1.1.3
esp:
yes mode: tunnel
enc_algo/auth_algo: 3des/md5
inbound_spi/outbound_spi:
237441483/134485286
ah:
no
stat: establish
life
time/cur_life_time: 86400/86304
inbound/outbound: 5/5 kbytes
local_net: 20.1.1.0/24
peer_net: 10.1.1.0/24
*********************************************************
Data: ipsec
sa Total count: 1.
*********************************************************
IPsec VPN的默认加密方式是3DES_MD5。
一条IPsec VPN隧道,配置多个网段的感兴趣流,最多支持100条。
第一阶段协商不成功,首先可以检查IKE的配置,查看两端的配置是否一致。
其次检查路由,查看对端是否可达。
如果一端配置对端网关配置的是动态,另一端配置静态对端网关,查看配置静态对端网关的一端,是否开启了自动连接,若未配置自动连接,流量需要从静态那一端发起,触发IKE
SA的协商。
调试命令:debug
ipsec-VPN debug
首先可以检查IPsec的配置,查看两端的配置是否一致。
检测感兴趣流,查看两端的感兴趣流是否一致。
检测路由,查看对端是否可达。若是基于tunnel口,检查是否配置tunnel口的路由。
调试命令:debug
ipsec-vpn debug
隧道模式时查看是否配置策略。
查看感兴趣流的方向性是否正确
若是感兴趣流的问题,可以通过以下命令查看:
show ike
dump-spd,查看基于策略的IPSec VPN的sp状态是否建立成功。
show ike
dump-tunn,查看基于tunnel的IPSec VPN的sp状态是否建立成功。
有些手机的IKE协商模式是野蛮模式,有些是主模式,所以一条VPN隧道不能保证所有的手机都能接入成功。
手机发起的加密算法也各不相同,可以通过debug
ipsec-vpn debug命令,查看协商不成功的原因,同时也可以查看对端发来的加密算法是否与本端一致。