本帖最后由 新手722574 于 2022-11-15 10:10 编辑
一、问题概述 信服云SSL_VPN与第三方对接IPSEC_VPN第一阶段隧道无法建立,协商的第一阶段SA已经完成后,隧道建立,但是过几秒钟提示连接已经DPD超时,与其相关的隧道中断。 二、故障截图三、故障原因分析 IPSEC VPN第一阶段不成功排查思路,首先核对两端的第一阶段协商配置信息是否一致: 再通过系统日志查看相关调试日志,建议直接查看系统日志,日志筛选“DLAN总部”,点击调试日志,如下: 查看调试日志有什么报错,根据对应的提示,检查两端相应的配置,比如有如下报错: 根据提示重查下DPD协商模式是否与一致 四、解决方案 取消本端DPD协商勾选 五、操作影响范围 无 六、注意事项问题一:建立标准IPSEC VPN是否需要授权? 1.SANGFOR设备与SANGFOR设备之间进行第三方(标准IPSEC)对接不需要授权。 2.SANGFOR VPN与其它厂商的设备进行标准IPSEC对接需要分支授权(所以和其他厂商对接的 时候,一定要记住必须申请分支授权),接入一个设备需要一个分支授权,接入多个第三方 设备,需要多个分支授权
问题二:对接模式 1、信服云上SSL VPN是旁路部署,与第三方对接IPSEC VPN只能是野蛮模式。 问题三:什么情况下建议使用DPD?什么情况下又不建议使用DPD? 如下情况的时候建议使用DPD: 1.如果客户可能存在会去手动删除对端设备的SA安全联盟时,建议启用DPD 2.需要通过DPD来检测对端设备SA是否还存活 3.通过使用DPD,能够检测对端SA是否还存活,如果对端SA不在了,可以让我们本端SA也删 除,然后重新建立新的SA安全联盟 如下情况不建议使用DPD: a.两端设备公网网络质量比较差的情况不建议使用(否则DPD有可能存在多次收不到请求的 回应报文,导致断开SA,重新建立IPSEC VPN) | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-1-24 23:11