H3C IPSEC VPN智能選路故障記錄

發(fā)布時(shí)間：2024-07-02

問題1：分支ipsec智能選路之前好好的，今天發(fā)現(xiàn)電信那條路切不過去了，display ipsec smart-link policy 發(fā)現(xiàn)電信那條路loss 99%;
問題2：上面問題處理完后，下面又出新問題，在ipsec smart-link policy 手動切成電信正常通信，ipsec sa也正常，手動切成移動，不能通信，ipsec sa也正常。
問題1：分支ipsec智能選路之前好好的，今天發(fā)現(xiàn)電信那條路切不過去了，display ipsec smart-link policy 發(fā)現(xiàn)電信那條路loss 99%;
問題2：上面問題處理完后，下面又出新問題，在ipsec smart-link policy 手動切成電信正常通信，ipsec sa也正常，手動切成移動，不能通信，ipsec sa也正常。
問題描述問題1：需要把電信那條鏈路為啥智能選路判定故障解決;
問題2：需要讓切換后隨便哪條正常。
過程分析問題1：首先ping -a 1.1.1.10 3.3.3.10 ， 發(fā)現(xiàn)正常,(這個(gè)地址為分部的公網(wǎng)地址，和總部公網(wǎng)地址)，查看路由發(fā)現(xiàn)切換成電信鏈路時(shí)，ike里的感興趣流acl里沒有自動的一條，路由表里也沒有，這個(gè)我就不打字了，稍后在解決里貼圖。
問題2：查看分部ipsec sa，一切正常，后面查看總部，display ipsec sa remote 1.1.1.1 和 2.2.2.2 發(fā)現(xiàn)分部的電信和移動都有ipsec sa ，有用戶視圖下>reset ipsec sa remote 1.1.1.1 , 發(fā)現(xiàn)移動的就好了。
解決方法問題1：在ipsec里加入反向路由，reverse-route dynamic(還有一個(gè)路由表里不用加靜態(tài)路由，負(fù)載均衡會自動生成等價(jià)路由，我開始移動優(yōu)先級用60，電信用69，然后電信那條還是會有問題，變成等價(jià)就好了)
問題2：知道是有殘留ipsec sa,于是在總部配置了dpd檢測，這個(gè)手動切過，大概丟了5-10個(gè)包就恢復(fù)正常了。