display ike sa
connection-id local remote flag doi
-----------------------------------------------------------------------------------
482 222.222.4.103 218.12.25.226 unknow ipsec
过程分析ipsec无法建立,首先检查两端配置,确保加密和认证算法相同,本端和对端地址正确,感兴趣对称。检查配置后发现都正确,没有发现问题。
然后收集debug ike sa和debug ipsec sa进行分析。
本端:
*jul 16 12:23:41:198 2021 h3c ike/7/event: vrf = 0, local = 222.222.4.103, remote = 218.12.25.226/500 retransmission of phase 1 packet timed aout.
*jul 16 12:23:41:198 2021 h3c ike/7/error: vrf = 0, local = 222.222.4.103, remote = 218.12.25.226/500 failed to negotiate ike sa.
对端:
*jul 16 12:24:38:954 2021 h3c ike/7/event: vrf = 0, local = 218.12.25.226, remote = 222.222.4.103/500 retransmission of phase 1 packet timed out.
*jul 16 12:24:38:954 2021 h3c ike/7/error: vrf = 0, local = 218.12.25.226, remote = 222.222.4.103/500 failed to negotiate ike sa.
从两边的debug可以看到都是相同的报错,重传超时,并没有提示参数上的问题,且500端口也是放通的。
为了进一步确认配置,在本地实测,两台路由器设备直连,将现场两端设备相关配置导入,发现能够正常建立隧道,说明配置正确,没有问题。
后续向现场了解到,一端的设备出口走的移动,另一端的设备出口走的联通。结合本地测试结果,怀疑是两端跨了运营商导致报文传输被丢弃。
于是建议现场修改一台设备的配置,走相同运营商接口,修改接口配置后,隧道能正常建立起来,证明确实是跨运营商导致报文被丢弃。
解决方法修改两端走同一运营商链路。