常見配置問題及解決方案
更新時(shi)間 2025-08-12 18:30:06
最近(jin)更新時間: 2025-08-12 18:30:06
分享文章
本(ben)章(zhang)節向(xiang)您介紹VPN連接服務故(gu)障(zhang)排查中常見(jian)配置(zhi)問題(ti)及解(jie)決方案,幫助您加速(su)解(jie)決連接問題(ti)。
- PSK不一致:單獨更新預共享密鑰會在下一次IKE協商時生效,最長等待一個IKE的生命周期,須確認兩端更新密鑰一致。
- 協商策略不一致:請仔細排查IKE中的認證算法、加密算法、版本、DH組、協商模式和IPsec中的認證算法、加密算法、封裝格式、PFS算法,特別注意PFS和云下配置一致,部分設備默認關閉了PFS配置。
- 感興趣流:兩端ACL配置不互為鏡像,特別注意云下的ACL配置不能采用地址組名稱,要使用真實的IP地址+掩碼。
- NAT配置:云下子網訪問云上子網配置為NONAT,云下公網IP不能被二次NAT為設備的接口IP。
- 安全策略:放行云下子網訪問云上子網的所有協議,放行兩個公網IP間的ESP、AH及UDP的500和4500端口。
- 路由配置:添加訪問云上子網的出接口路由為隧道接口或IPsec協商出口,注意出接口的下一跳ARP解析要可達。
