45-IPsec诊断
本章节下载: 45-IPsec诊断 (198.58 KB)
本帮助主要介绍以下内容:
· 特性简介
IPsec故障诊断功能可以检测IPsec连接的状态,当IPsec连接发生故障时,可以协助用户排查IPsec配置中的问题,并提供可能的原因。
设备支持三种诊断模式:数据流、接口、IP地址。在三种模式下,设备首先将根据用户指定的信息查找对应的IPsec策略。然后,在数据流和接口模式下,设备会主动向对端发起IPsec连接并进行诊断;在IP地址模式下,本端将等待指定对端发起IPsec连接,然后进行IPsec诊断。
表-1 IPsec诊断参数表
参数 |
说明 |
IPsec对端路由可达 |
路由表中是否存在到对端IP地址的路由 |
接口状态 |
检测接口物理层和IP协议层的状态,接口的确定方式有两种: · 数据流和IP诊断模式下,根据路由查找对应的出接口 · 接口诊断模式下,由用户指定 |
接口上应用了IPsec安全策略 |
检测接口上是否已经应用了IPsec安全策略 |
IPsec安全策略的ACL规则匹配指定数据流 |
只有采用数据流诊断模式才会显示此项,若显示为“否”,请检查IPsec策略的配置 |
存在待加密数据流 |
只有采用接口诊断模式才会显示此项,检测IPsec策略中的ACL规则是否存在permit规则,以实现流量匹配,保证IPsec的可以正常工作 |
IPsec策略配置完整性 |
检验IPsec策略的完整性,包括ACL、IPsec安全提议、隧道两端IP、SA参数,如果是IP地址诊断模式,则检测IPsec安全提议、SA参数 |
IKE协商结果 |
若显示“协商成功”或“IKE SA已存在”,则说明IKE协商正常 若显示其他,这说明IKE协商存在问题,请根据具体的提示信息检查本端以及对端的策略是否正确且匹配 |
IPsec协商结果 |
若显示“协商成功”或“隧道已存在”,则说明IPsec协商正常 若显示其他,这说明IPsec协商存在问题,请根据具体的提示信息检查本端以及对端的策略是否正确且匹配 |
· 数据流诊断方式中,源和目的IP地址为数据包实际的IP地址,而不是经过IPsec封装后的IP地址。
· 数据流方式和接口方式的IPsec诊断,根据指定信息查找到的IPsec策略必须可以主动发起IPsec连接,不能是模板方式建立的IPsec安全策略。
· 数据流方式和接口方式的IPsec诊断,设备的处理时间最长为20分钟,若20分钟内没有结果,将停止诊断,并输出已有结果。
· IP地址方式的IPsec诊断,设备将一直等待对端发起IPsec连接,不会自动停止诊断。
· 同一时间只能进行一个IPsec诊断。
· 只能针对使用IPv4地址的IPsec进行诊断。
· 本功能只支持对IPsec安全策略进行诊断,不支持诊断IPsec安全框架。
· VRF应配置为应用IPsec安全策略的接口所在的VPN实例。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!