- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
45-IPsec診斷
本章節下載: 45-IPsec診斷 (198.58 KB)
本幫助主要介紹以下內容:
· 特性簡介
IPsec故障診斷功能可以檢測IPsec連接的狀態,當IPsec連接發生故障時,可以協助用戶排查IPsec配置中的問題,並提供可能的原因。
設備支持三種診斷模式:數據流、接口、IP地址。在三種模式下,設備首先將根據用戶指定的信息查找對應的IPsec策略。然後,在數據流和接口模式下,設備會主動向對端發起IPsec連接並進行診斷;在IP地址模式下,本端將等待指定對端發起IPsec連接,然後進行IPsec診斷。
表-1 IPsec診斷參數表
|
參數 |
說明 |
|
IPsec對端路由可達 |
路由表中是否存在到對端IP地址的路由 |
|
接口狀態 |
檢測接口物理層和IP協議層的狀態,接口的確定方式有兩種: · 數據流和IP診斷模式下,根據路由查找對應的出接口 · 接口診斷模式下,由用戶指定 |
|
接口上應用了IPsec安全策略 |
檢測接口上是否已經應用了IPsec安全策略 |
|
IPsec安全策略的ACL規則匹配指定數據流 |
隻有采用數據流診斷模式才會顯示此項,若顯示為“否”,請檢查IPsec策略的配置 |
|
存在待加密數據流 |
隻有采用接口診斷模式才會顯示此項,檢測IPsec策略中的ACL規則是否存在permit規則,以實現流量匹配,保證IPsec的可以正常工作 |
|
IPsec策略配置完整性 |
檢驗IPsec策略的完整性,包括ACL、IPsec安全提議、隧道兩端IP、SA參數,如果是IP地址診斷模式,則檢測IPsec安全提議、SA參數 |
|
IKE協商結果 |
若顯示“協商成功”或“IKE SA已存在”,則說明IKE協商正常 若顯示其他,這說明IKE協商存在問題,請根據具體的提示信息檢查本端以及對端的策略是否正確且匹配 |
|
IPsec協商結果 |
若顯示“協商成功”或“隧道已存在”,則說明IPsec協商正常 若顯示其他,這說明IPsec協商存在問題,請根據具體的提示信息檢查本端以及對端的策略是否正確且匹配 |
· 數據流診斷方式中,源和目的IP地址為數據包實際的IP地址,而不是經過IPsec封裝後的IP地址。
· 數據流方式和接口方式的IPsec診斷,根據指定信息查找到的IPsec策略必須可以主動發起IPsec連接,不能是模板方式建立的IPsec安全策略。
· 數據流方式和接口方式的IPsec診斷,設備的處理時間最長為20分鍾,若20分鍾內沒有結果,將停止診斷,並輸出已有結果。
· IP地址方式的IPsec診斷,設備將一直等待對端發起IPsec連接,不會自動停止診斷。
· 同一時間隻能進行一個IPsec診斷。
· 隻能針對使用IPv4地址的IPsec進行診斷。
· 本功能隻支持對IPsec安全策略進行診斷,不支持診斷IPsec安全框架。
· VRF應配置為應用IPsec安全策略的接口所在的VPN實例。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
