电子政务 网络管理 常见故障处理

IPSec故障排除方法

来源:网络部撰稿人:网络部发布时间:2014-05-21 字体:[] [][关闭][打印]
       IPSec(IP Security,IP安全)是一种保障IP数据安全传输的协议,IPSec介于网络层和传输层之间,能够为上层协议提供安全服务,包括数据的完整性、真实性和机密性。

  在IPSec组网中,如果IPSec隧道出现连通性问题,故障排除方法参考如下:

  1、检查IPSec隧道外层IP地址是否可达

  从IPSec隧道一侧ping对端外层IP地址,如果不能ping通,检查双方路由表,或者通过tracert定位网络中断位置。

  2、检查Security ACL配置是否正确

  缺省情况下,IPSec要求通讯双方的Security ACL互为镜像,如果不符合镜像原则,会导致IPSec SA协商失败。

  如果中心使用IPSec策略模板,分支必须配置明细的Security ACL,否则可能导致其他分支无法与中心通讯。

  3、检查Security ACL模式是否一致

  如果两边ACL模式不一致,可能会导致部分目的地不可达。

  4、检查IPSec隧道两端安全提议是否一致

  IPSec通讯双方的隧道封装模式、封装格式、加密算法、验证算法等,都应该一致,至少应该能协商出一个相同的IPSec提案,否则会导致IPSec协商失败。

  5、检查预共享密钥是否相同

  如果采用预共享方式,必须保证双方的预共享密码完全相同,否则会导致IKE载荷不能识别,无法通过阶段一协商。

  6、IPSec MTU问题

  如果采用IPSec ESP隧道模式,IPSec封装后的报文比原始IP报文大约多40字节,假设物理接口的MTU为1500,所能承载的原始IP报文应该小于1460字节。

  如果IP报文长度大于1460字节,首先需要对原始IP报文进行分片,然后加IPSec封装,对于设置DF位的IP报文,需要修改TCP MSS值。