扑 IPSec 隧道

问题: ipsec 隧道未拍打或 ipsec 隧道已上, 但未通过通信.

原因:如果 SPI 数不稳定, 则隧道扑动或不通过交通的原因之一. 软件 bug 可能是问题, 1 阶段和2阶段的生存期不同, 因此 rekey 正在发生。代理 ID 不匹配, 因此 rekey 经常发生。

安全关联由三个由安全参数索引 (SPI)、IP 目标地址和安全协议 (AH 或 ESP) 标识符组成的三重标识。SPI 是任意的32位值, 它由接收者用来标识传入数据包应绑定到的 SA。提供 SPI 以将传入数据包映射到目标中的 SA。

可以使用以下命令在防火墙上检查 SPI 编号:

显示 vpn ipsec sa

SPI 数字应该保持稳定, 直到隧道会。如果这个数字正在改变, 那么隧道将不稳定。

示例:在两个截图中, SPI 数字正在更改.

分辨率:

• 检查 phase1 和 phase2 的寿命--时间应该相同。
• 检查代理 ID 是否匹配。
• 问题可能是由于软件错误。