1、故障现象:
从一端查看显示:
<Huawei>dis ike sa
Conn-ID Peer VPN Flag(s) Phase
---------------------------------------------------------------
1 0.0.0.0 0 1
Flag Description:
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP
另一端显示的Peer正常
<Huawei>dis ike sa
Conn-ID Peer VPN Flag(s) Phase
---------------------------------------------------------------
112233 119.39.96.100 0 1
2、检查两端的配置,完全正常
3、使用 debugging ike sa all
有问题的一端显示
<Huawei>
May 22 2018 09:31:07.180.6+00:00 Huawei IKE/7/IKE_Debug Info:
3:225 (Source:Port = 0.0.0.0:500), (Destination:port = 175.5.200.186:500)Adding Transport 6b7431c4
并且没有任何 revce 到对端Peer的记录
4、怀疑 IKE需要的端口UDP 500被其它应用占用了,果然,看到端口下有配置 nat static udp 500 的条目,于是删除
5、进入接口,删除UDP 500的静态的NAT
6、dis ike sa 显示仍然有问题
<Huawei>dis ike sa
Conn-ID Peer VPN Flag(s) Phase
---------------------------------------------------------------
1 0.0.0.0 0 1
7、show nat session all ver 查看到 500端口被NAT到一台服务器了
[Huawei]dis nat session all ver
Protocol : UDP(17)
SrcAddr Port Vpn : 163.179.124.5 500
DestAddr Port Vpn : 119.39.96.100 500
Time To Live : 120 s
NAT-Info
New SrcAddr : ----
New SrcPort : ----
New DestAddr : 10.6.37.252
New DestPort : ----
Protocol : UDP(17)
8、原因:在接口下删除NAT,并不会清除掉NAT session, 这个问题困惑了一天,
9、reset nat session all 后,一切正常
10
[Huawei]dis ike sa
Conn-ID Peer VPN Flag(s) Phase
---------------------------------------------------------------
2 175.5.200.186 0 RD|ST 2
1 175.5.200.186 0 RD|ST 1
Flag Description:
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP
11、至此,问题解决。
12、参教文档