执行命令
display ipsec sa查看Security ACL协商出的被保护的数据流是否有冲突。
查看下总部的Security ACL协商出的被保护的数据流是否有冲突。
<sysname1>
display ipsec sa ipsec sa information:=============================== Interface: GE1/0/1 =============================== ----------------------------- IPsec policy name: "map1" Sequence number : 1 Acl group : 3000/IPv4 Acl rule : 5 Mode : ISAKMP ----------------------------- Connection ID : 83893872 Encapsulation mode: Tunnel Holding time : 0d 0h 32m 4s Tunnel local : 1.1.3.1:500 Tunnel remote : 1.1.5.1:500 Flow source : 10.1.0.0/255.255.0.0 0/0 Flow destination : 10.1.0.0/255.255.0.0 0/0 ..... ----------------------------- IPsec policy name: "map1" Sequence number : 2 Acl group : 3001 Acl rule : 5 Mode : ISAKMP ----------------------------- Connection ID : 83893872 Encapsulation mode: Tunnel Holding time : 0d 0h 32m 4s Tunnel local : 1.1.3.1:500 Tunnel remote : 1.1.6.1:500 Flow source : 10.1.0.0/255.255.0.0 0/0 Flow destination : 10.1.3.0/255.255.255.0 0/0 .......
发现总部能够与分支正常通信的ACL数据流范围(ACL 3000的rule 5)包括了不能与分支正常通信的ACL里的数据流(ACL 3001的rule 5),造成Security ACL规则冲突。