• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

06-系统

目录

45-IPsec诊断

本章节下载 45-IPsec诊断  (198.58 KB)

45-IPsec诊断

IPsec诊断

 

本帮助主要介绍以下内容:

·     特性简介

·     使用限制和注意事项

特性简介

IPsec故障诊断功能可以检测IPsec连接的状态,当IPsec连接发生故障时,可以协助用户排查IPsec配置中的问题,并提供可能的原因。

设备支持三种诊断模式:数据流、接口、IP地址。在三种模式下,设备首先将根据用户指定的信息查找对应的IPsec策略。然后,在数据流和接口模式下,设备会主动向对端发起IPsec连接并进行诊断;在IP地址模式下,本端将等待指定对端发起IPsec连接,然后进行IPsec诊断。

表-1 IPsec诊断参数表

参数

说明

IPsec对端路由可达

路由表中是否存在到对端IP地址的路由

接口状态

检测接口物理层和IP协议层的状态,接口的确定方式有两种:

·     数据流和IP诊断模式下,根据路由查找对应的出接口

·     接口诊断模式下,由用户指定

接口上应用了IPsec安全策略

检测接口上是否已经应用了IPsec安全策略

IPsec安全策略的ACL规则匹配指定数据流

只有采用数据流诊断模式才会显示此项,若显示为“否”,请检查IPsec策略的配置

存在待加密数据流

只有采用接口诊断模式才会显示此项,检测IPsec策略中的ACL规则是否存在permit规则,以实现流量匹配,保证IPsec的可以正常工作

IPsec策略配置完整性

检验IPsec策略的完整性,包括ACLIPsec安全提议、隧道两端IPSA参数,如果是IP地址诊断模式,则检测IPsec安全提议、SA参数

IKE协商结果

若显示“协商成功”或“IKE SA已存在”,则说明IKE协商正常

若显示其他,这说明IKE协商存在问题,请根据具体的提示信息检查本端以及对端的策略是否正确且匹配

IPsec协商结果

若显示“协商成功”或“隧道已存在”,则说明IPsec协商正常

若显示其他,这说明IPsec协商存在问题,请根据具体的提示信息检查本端以及对端的策略是否正确且匹配

 

使用限制和注意事项

·     数据流诊断方式中,源和目的IP地址为数据包实际的IP地址,而不是经过IPsec封装后的IP地址。

·     数据流方式和接口方式的IPsec诊断,根据指定信息查找到的IPsec策略必须可以主动发起IPsec连接,不能是模板方式建立的IPsec安全策略。

·     数据流方式和接口方式的IPsec诊断,设备的处理时间最长为20分钟,若20分钟内没有结果,将停止诊断,并输出已有结果。

·     IP地址方式的IPsec诊断,设备将一直等待对端发起IPsec连接,不会自动停止诊断。

·     同一时间只能进行一个IPsec诊断。

·     只能针对使用IPv4地址的IPsec进行诊断。

·     本功能只支持对IPsec安全策略进行诊断,不支持诊断IPsec安全框架。

·     VRF应配置为应用IPsec安全策略的接口所在的VPN实例。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们