第9章组网技术祥解.ppt

* ip classless ip route //设置默认路由 ip route //设置经过隧道到内网的静态路由 access-list 101 permip gre host host //定义存取列表 * 10.8.3 测试常见故障 1．故障1 问题描述：在IPSec-manual或IPSec-isakmp方式下，双方配置好后或双方协商通过后，双方仍然无法通信。若同时debug crypto packect，则会出现如下信息：rec’d IPSec packet from IPADDR has invalid spi。 原因：对端的outbound的spi值与本端的inbound不同或配置的配置策略不同（esp、ah）。 解决方案：检查双方配置信息，尤其是在IPSec-manual方式下，检查双方的SPI值是否按方向（inbound、outbound）匹配。而在IPSec-isakmp下，则可能是协商出错。 * 2．故障2 问题描述：在IPSec-manual方式下，双方配置好后，双方仍然无法进行通信。同时若打开debug crypto packect，则会出现如下信息：pactet missing policy。 原因：对端的outbound的配置策略和本地不同（esp、ah）。 解决方案：检查双方配置信息，很可能是对端策略配置为esp，而本端策略是ah+esp。 * 3．故障3 问题描述：在IPSec-manual方式下，双方配置好后，双方仍然无法进行通信。同时若打开debug crypto packect，则会出现如下信息：rec’d IPSec packet from IPADDR has bad pading。 原因：对端的outbound的加密密钥与本端的inbound的不同。 解决方案：检查对端的outbound的加密密钥与本端的inbound的加密密钥，务必使两者相同。 * 4．故障4 问题描述：在IPSec-manual方式下，双方配置好后，双方仍然无法进行通信。同时若打开debug crypto packect，则会出现如下信息：rec’d IPSec packet mac verify failed。 原因：对端的outbound的ESP或AH验证密钥与本端的inbound的不同。 解决方案：检查对端的outbound的ESP或AH验证密钥与本端的inbound的验证密钥，务必使两者相同。 * 5．故障5 问题描述：在IPSec-manual方式下，双方配置好后，双方仍然无法进行通信。同时若打开debug crypto packect，则会出现如下信息：rec’d IPSec packet from IPADDR to IPADDR does not agree with policy。 原因：IPSec处理完成的包与相应的access-list不同，子MAP的访问列表配置有问题。 解决方案：检查本端sub_map配置的access-list是否符合进行IPSec通信的要求。 * 6．故障6 问题描述：在IPSec-isakmp方式下，双方配置好后，由对端开始发起协商，无法进行通信，用show crypto isakmp sa也没有发现和当前通信相关的成功的SA信息。在协商同时若打开debug crypto isakmp，则会出现后如下信息：ISAKMP(xxx)：processing ISAKMP-SA payload（随后有若干transform-payload中的内容）ISAKMP(xxx)：no acceptable Oakley Transform ISAKMP(xxx)：negotiate error NO_PROPOSAL_CHOSEN。 原因：双方配置的ISAKMP策略不匹配。 解决方案：检查两端的ISAKMP-Policy是否相同，尤其是对端的lifetime值不能大于本地的lifetime值。 * 7．故障7 问题描述：在IPSec-isakmp方式下，双方配置好后，由对端开始发起协商，无法进行通信，用show crypto ipsec sa也没有发现和当前通信相关的成功的SA信息。在协商同时若打开debug crypto isakmp，则会出现后如下信息：ISAKMP(xxx)：processing ISAKMP-SA payload（随后有若干transform-payload中的内容）ISAKMP(xxx)：no acceptable Prop