如何排除没有流量通过 IPsec 隧道的故障

66044

Created On 08/04/22 16:50 PM - Last Modified 08/23/23 20:59 PM

Objective

排除没有流量通过 IPsec 隧道的故障

通过中提到的检查如何对通过 IPsec 隧道仅在一个方向流动的流量进行故障排除这主要与配置有关PAN-FW.
如果您的 IPsec 隧道配置在两个PAN-FW并且有一个NAT之间的设备然后确保启用NAT遍历 (NAT-T ) 在隧道的两侧，然后检查安全协议VPN隧道与NAT遍历.
如果您的 IPsec 隧道配置在PAN-FW和思科ASA并且有一个NAT之间的设备，然后确保启用NAT-T而且还有思科ASA有NAT-T端口 4500/udp 打开。
如果您的 IPsec隧道已启动，但数据包被错误地丢弃SPI计数器增加，然后检查突出显示的链接。
如果您的 IPsec 隧道已启动并且您已经针对 Cisco 路由器配置了基于 IPsec 的动态路由，那么请确保您已按照中列出的步骤进行操作如何针对 Cisco 路由器配置基于 IPSec 的动态路由.
如果不通过已建立的 IPSec 隧道的流量来自VM-系列firewall在 OpenStack 上，然后检查突出显示的链接。
检查上游是否有任何设备正在执行端口和地址转换。因为ESP是第 3 层协议，ESP数据包没有端口号。当此类设备收到ESP数据包，它们很可能会静静地丢弃它们，因为它们看不到要转换的端口号。
如果以上都不能解决您的问题，请参阅资源列表：IPSec 配置和故障排除或联系我们的技术支持团队。