排除 VPN 隧道故障
问题:IPsec VPN 处于非活动状态,不会传递数据。
您在使用哪种类型的 VPN 隧道时遇到问题?
站点到站点(LAN-to-LAN)VPN:
继续执行步骤 2。
远程访问 IPsec VPN 或客户端到 LAN VPN:
有关分支 SRX 系列,请参阅 KB17220。
对于高端 SRX 系列,请继续执行步骤 2。
VPN 隧道的 SA(安全关联)是否处于活动状态?
运行
show security ipsec security-associations命令并找到 VPN 的网关地址。如果未显示远程网关,则 VPN SA 未处于活动状态。有关 SA 的详细信息,请参阅 KB10090。user@host> show security ipsec security-associations total configured sa: 2 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <32785 2.2.2.2 1398 ESP:3des/sha1 29e26eba 28735/unlim - 0 >32785 2.2.2.2 1398 ESP:3des/sha1 6d4e790b 28735/unlim - 0 total configured sa: 2 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <32786 3.3.3.3 500 ESP:3des/sha1 5c13215d 28782/unlim U 0 >32786 3.3.3.3 500 ESP:3des/sha1 18f67b48 28782/unlim U 0
如果输出中未列出 SA,请继续执行步骤 3。
-
如果列出了 SA(第 2 阶段已启动)并且流量未通过,请参阅 对已启动但无法传递流量的 VPN 进行故障排除。
-
如果 SA 在活动状态和非活动状态之间振荡,请参见 排除 VPN 隧道抖动故障。
IKE 第 1 阶段启动了吗?
show security ike security-associations运行命令。验证是否列出了 VPN 的远程地址,以及字段的值State是否为 UP。user@host> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 1 2.2.2.2 UP 744a594d957dd513 1e1307db82f58387 Main 2 3.3.3.3 UP 744a594d957dd513 1e1307db82f58387 Main
如果未列出远程地址或字段的值
State为DOWN,请分析响应方上的 IKE 第 1 阶段消息以获取解决方案。请参阅 KB10101。如果状态为
UP,请分析响应方上的 IKE 第 2 阶段消息以找到解决方案。请参阅 KB10101。
如果问题仍未解决,请分析启动 VPN 设备上 VPN 隧道的第 1 阶段或第 2 阶段日志。如果在启动端的日志中找不到解决方案,请继续执行步骤 4。
收集日志、流跟踪选项和 IKE 跟踪选项,然后向技术支持代表提交案例。有关以下方面的信息: