H3C SecPath F5020[5040]防火墙产品日常维护指导书.pdf-道客多多

资源描述

1、 H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 i页，共 31页 H3C F50X0产品日常维护指导书 V1.0 杭州华三通信技术有限公司 H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 ii页，共 31页修订记录日期修订版本描述作者 H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 iii页，共 31页目录第 1章日常维护建议 2 1.1 F50X0产品日常维护建议 2 1 维护操作指导 . 4 1.1 H3

2、C F50X0设备日常维护操作指导 4 1.2 H3C F50X0设备季度维护操作指导 4 1.3 H3C F50X0设备年度维护操作指导 5 2 维护记录表格 . 6 2.1 H3C F50X0设备日常维护值班日志 6 2.2 H3C F50X0设备季度维护记录表 7 2.3 H3C F50X0设备年度维护记录表 8 2.4 H3C F50X0设备突发问题处理记录表 . 9 2.5 硬件更换记录表 10 2.6 系统参数修改记录表 . 11 3 常见故障处理 . 12 3.1 ping不通或丢包 . 12 3.1.1 故障描述 12 3.1.2 故障处理步骤 . 12 3.2 有 NAT转换

3、情况下， ping丢包或不通 13 3.2.1 故障描述 13 3.2.2 故障处理步骤 . 13 3.3 动态 NAT转换故障 (以动态 nat outbound为例 ) . 15 3.3.1 故障描述 15 3.3.2 故障处理步骤 . 15 3.4 静态 NAT444转换故障 . 17 3.4.1 故障描述 17 3.4.2 故障处理步骤 . 18 3.5 设备作为出口网关设备割接之后， NAT业务不通，但是接口地址可以 ping通 19 3.5.1 故障描述 19 3.5.2 故障处理步骤 . 19 3.6 IPSec SA可以成功建立，但是 IPSec保护的流量不通 20 H3C 安

4、全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 iv页，共 31页 3.6.1 故障描述 20 3.6.2 故障处理步骤（以分析 F50X0-2为例） . 20 3.7 CPU占用率高 . 22 3.7.1 故障描述 22 3.7.2 故障处理步骤 . 23 3.8 内存占用率高 25 3.8.1 故障描述 25 3.8.2 故障处理步骤 . 25 H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 1页，共 31页 H3C F50X0产品日常维护指导书摘要：此指导书用于指导 H3C F5

5、0X0产品的日常维护使用，主要描述用户维护部门周期性（每天、每周、每月、每年）对 H3C F50X0产品进行健康性检查的相关事项。适用对象：本文档适用于维护 H3C 安全产品的工程师 H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 2页，共 31页第 1章日常维护建议维护手段：巡检、优化、处理投诉、保障等 1.1 F50X0 产品日常维护建议尊敬的用户：感谢您使用 H3C公司的 F50X0产品。系统运行的正常、稳定是我们共同的愿望，为了我们共同的目标，请您重视以下建议并参照日常维护建议指导书进行必要的日常维护。

6、 1、 F50X0设备的使用涉及到多种业务知识，应安排受过专业培训的专人进行日常维护。 2、保持机房清洁干净，防尘防潮，防止虫鼠进入。 3、每天参照 H3C F50X0产品日常维护指导书中内容对设备进行例行检查和测试，并记录检查结果。 4、用于系统管理、设备维护和业务操作的用户名和口令应该严格管理，定期更改，并只向特定相关人员发放。 5、严禁向设备维护终端和 WEB客户端主机装入业务无关软件，严禁用设备维护终端和 WEB客户端主机玩游戏。维护终端和 WEB客户端主机应该定期杀毒。 6、遇有不明原因告警，请迅速与代理商工程师或者 H3C公司服务热线联系（ 400-8100504/800-8

7、100504）。 7、调整线缆一定要慎重，调整前要作标记，以防误接。 8、对设备硬件进行操作时应戴防静电手腕。 9、对设备进行复位、改动业务数据之前做好备份工作。 10、在对设备版本进行升级前，请详细阅读版本说明书中的升级指导，并全面备份相关配置。 F50X0设备运维日常的维护工作内容主要有季度巡检、故障处理、投诉处理、网络整改、通信保H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 3页，共 31页障等。季度巡检：定期对所有进行一次现场巡检，对巡检时发现的问题现场进行处理并登记。故障处理：主要通过网管系统发现

8、故障并根据故障性质进行处理。用户投诉：用户投诉要求在接到投诉后一定时限内赶到现场进行处理，处理完要求回访客户进行故障恢复确认。网络优化：针对客户投诉、会议保障以及局点性质变化所作的较大的网络调整。通讯保障：当有重大事情时会要求运维人员进行现场保障通信设备的稳定性。 H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 4页，共 31页 1 维护操作指导 1.1 H3C F50X0设备日常维护操作指导维护类别维护项目操作指导参考标准外部环境检查电源（直流 /交流）查看电源监控系统或测试电源输出电压。电

9、压输出正常，电源无异常告警。温度（正常 0 35）检查机房的灰尘含量。每平方米灰尘颗粒数量 3104(3天内桌面无可见灰尘 ) 注：灰尘粒子直径 5 m 直观判断：三天内桌面无可见灰尘为好湿度（正常 20 80）测试机房温度。温度范围： 0 -35；建议为15 -25。机房清洁度（灰尘含量）测试相对湿度。相对湿度： 20%-80% （无冷凝）其他状况（火警、烟尘）查看消控系统告警状态消控系统无告警；设备运行状态检查查看系统运行情况参照设备命令手册检查看是否存在异常现象查看告警信息参照设备命令手册检查是否存在严重告警和异常告警设备指示灯状态

10、观测参照设备命令手册 CPU及内存状态观测参照设备命令手册查询 /导出日志参照设备命令手册看日志有无严重告警和异常告警业务操作检查抽检 telnet登录参照设备命令手册 telnet方式能正常登录抽检端口统计数据参照设备命令手册查看各个使用的端口收发统计数据是否正常，异常报文是否有增长抽检可 ping通参照设备命令手册抽检网络服务端口关闭情况参照设备命令手册比如 FTP SERVER功能在不使用时要及时关闭 1.2 H3C F50X0设备季度维护操作指导维护类别维护项目操作指导参考标准 H3C 安全产品日常维护指导书有限公开 2016-03-

11、29 H3C机密，未经许可不得扩散第 5页，共 31页设备维护风扇状态观察风扇转动情况；听风扇转动的声音。风扇看不到叶片，风扇通风正常；风扇转动声音轻微无马达声、破擦声或尖啸声；季度维护查询及抽检系统时钟参照设备命令手册如果和实际时间不符，需及时修改为正确时间。更改登录密码参照设备命令手册告警联动有效性测试检测告警联动功能是否正常比如设置某侦测告警，观察此告警是否触发成功，并观察告警联动的执行情况网络连通性检查在中心设备维护终端上ping 各网段主机在中心设备维护终端上用 ip 扫描工作扫描各网段，检查各节点的连通性网络设备端口状态

12、检查登陆交换机显示并检查当前各端口状态设备维护终端上以串口或者 telnet登陆设备，在用户视图下执行命令，检查各端口的状态，确保无 CRC校验错，无半双工工作模式情况配置备份登陆交换机显示当前运行配置并保存该配置设备维护终端上以串口或者 telnet登陆设备，在用户视图下执行 display cur，保存显示结果机柜清洁检查观察机柜内部和外部的清洁状况。机柜表面清洁，机框内部灰尘不得过多，否则必须清理。值班电话状态检查值班电话拨入、拨出情况 (1)值班电话可顺利拨入； (2)值班电话可顺利拨出； (3)话机工作正常； 1.3 H3C F50X0设备年度维护操作指导

13、维护类别维护项目操作指导参考标准接地、地线、电源线、业务线缆连接检查地阻检查使用地阻仪测试地阻。联合接地地阻小于 1欧姆。地线连接检查检查机柜接地线与局方地线排连接是否安全可靠。 (1) 各连接处安全、可靠无腐蚀。 (2) 地线无老化。 (3) 地线排无腐蚀，防腐蚀处理得当。电源线连接检查检查电源线与局方电源连接是否安全可靠。 (1) 各连接处安全、可靠无腐蚀。 (2) 电源线无老化。业务线缆连接及布放检查业务线缆是否与设备及配线架连接牢靠，业务线缆标识清晰。 (1) 各连接处安全、可靠无腐蚀。 (2) 布线整齐、清洁、标识清晰。电源检查 UPS电源检查检查 UP

14、S的输出电压是否稳定；在市电断电之后UPS是否继续稳定供电； (1) UPS的输出电压稳定 (2) 市电断电之后 UPS的继续稳定供电 H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 6页，共 31页 2 维护记录表格 2.1 H3C F50X0设备日常维护值班日志日期：年月日值班时间：时至时交班人：接班人：维护类别维护项目维护状况备注维护人设备运行环境电源（直流 /交流）正常不正常温度（正常 0 35）正常不正常湿度（正常 20 80）正常不正常机房清洁度（灰尘含量）好差其他

15、状况（火警、烟尘）正常不正常设备运行状态检查查看系统运行情况正常不正常查看告警信息正常不正常设备指示灯状态观测正常不正常 CPU及内存状态观测正常不正常查询 /导出日志正常不正常业务操作检查抽检 telnet登录正常不正常抽检端口统计数据正常不正常抽检可 ping通正常不正常抽检信号覆盖效果正常不正常抽检网络服务端口关闭情况正常不正常故障情况及其处理遗留问题 H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 7页，共 31页班长核查 2.2 H3C F50X0设备季

16、度维护记录表维护周期：年月日至年月日维护类别维护项目维护状况备注维护人设备维护风扇状态正常不正常抽检指示灯状态正常不正常季度维护查询及抽检系统时钟正常不正常更改登录密码完成未完成告警联动有效性测试正常不正常网络连通性检查正常不正常网络设备端口状态检查正常不正常及配置备份完成未完成机柜清洁检查正常不正常值班电话状态正常不正常发现问题及处理情况记录遗留问题说明 H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 8页，共 31页班长核查 2.

17、3 H3C F50X0设备年度维护记录表维护周期：年月日至年月日维护类别维护项目维护状况备注维护人接地、地线、电源线、业务线缆连接检查地阻检查正常不正常地线连接检查正常不正常电源线连接检查正常不正常业务线缆连接及布放检查正常不正常电源检查 UPS电源检查正常不正常发现问题及处理情况记录遗留问题说明 H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 9页，共 31页班长核查 2.4 H3C F50X0设备突发问题处理记录表发生时间：解决时间：值班人：处理人：问题类别

18、：软硬件问题电网供电 /UPS问题接地或电源连接问题设备安装问题操作问题其他（温度、湿度、鼠害、电磁干扰等）不可抗力（洪水、飓风、地震等）其他设备设备名称：生产厂家：设备名称：生产厂家：设备名称：生产厂家：故障描述：处理方法及结果： H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 10页，共 31页 2.5 硬件更换记录表更换原因原设备名称 /型号 /条码新设备名称 /型号 /条码数量日期更换人 H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可

19、不得扩散第 11页，共 31页 2.6 系统参数修改记录表修改人修改时间修改原因修改内容 H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 12页，共 31页 3 常见故障处理 3.1 ping不通或丢包 3.1.1 故障描述报文转发丢包， ping不通或 ping丢包， tracert异常。 ping 10.0.0.5 PING 10.0.0.5 (10.0.0.5): 56 data bytes, press CTRL_C to break Request time out Request time ou

20、t Request time out Request time out Request time out - 10.0.0.5 ping statistics - 5 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss 3.1.2 故障处理步骤 1. 确认参与转发的出入端口是否加入到安全域和域间策略 F50X0设备，端口默认没有加入到任何安全域 .，要确认端口是否加入到安全域。如果端口加入到安全域中，要确认是否配置了域间策略。系统默认情况下，相同安全域、不同安全域之间、安全域与 Local之间，转发默认是 deny的

21、。 2. 设备入出报文统计报文转发异常通常会涉及多台设备，需要逐一排查。为方便排查，排查前建议先明确报文的转发走向，如经过哪些中间设备，在设备的哪些接口进入设备，又会从哪些接口出去。检查出入接口的报文统计。确认统计是否正确。检查入方向报文统计计数，可以通过 reset counter interface命令清除计数。 3. 报文计数分析如果设备未收到 Ping报文，请排查上游的相邻设备；如果设备发送的 Ping报文计数H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 13页，共 31页正确，建议排查下游的相邻设备；如果 Pi

22、ng报文入出计数不正确，分下面几种情况进行分析：有入报文统计，没有出报文统计，进行如下排查 (1) 如果链路层处理没有丢包，执行 display ip statistics 命令，查看 IP 层丢包原因 display ip statistics Input: sum 263207520 local 1772 bad protocol 0 bad format 0 bad checksum 0 bad options 0 Output: forwarding 24511617 local 476 dropped 21949 no route 156 compress fails 0 Fra

23、gment:input 0 output 0 dropped 0 fragmented 0 couldnt fragment 0 Reassembling:sum 0 timeouts 0 (2) 打开 debugging aspf all、 debugging packet-filter packet ip，来确定 ASPF 是否有丢包无出、入报文统计需要分析是否上游没有把报文发送过来。 3.2 有 NAT转换情况下， ping丢包或不通 3.2.1 故障描述处于不同网段的两台 PC： PC1 和 PC2， PC1 的地址为 10.1.1.1， PC2 的地址为220.1.1.2；中

24、间穿越 F50X0 设备互相 ping 包， F50X0 设备对 PC1 的地址静态 NAT 转换为220.1.1.1；发现 PC1 ping PC2 不通，查看 PC2 可以收到 PC1 的 ping 报文，但是 PC1 收不到 PC2 的回应报文。 3.2.2 故障处理步骤 1. 配置检查确保 PC1和 PC2接入的端口加入了安全域，并且配置了域间策略。可以通过display interzone命令来查看是否配置了相关的域间策略： H3Cdisplay interzone H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 14页

25、，共 31页 Source zone Destination zone Trust Local Untrust Local Trust Untrust 2. 路由表检查检查设备到某一目的 IP网段的路由是否存在，如路由不存在，请检查路由协议配置、状态是否正确。 H3Cdisplay ip routing-table 10.1.1.0 3. FIB表检查检查设备到某一目的 IP网段的 FIB表项是否存在，如路由存在、 FIB表项异常，请将故障信息发送技术支持人员分析。 H3Cdisplay fib 10.1.1.0 4. arp表项检查查看 10.1.1.1的 arp表项是否存在。

26、H3Cdisplay arp 10.1.1.1 5. 会话通过 display session命令确认会话是否正常建立。 6. ASPF检查域间策略默认 ASPF对所有的报文进行检测。但如果在域间策略中配置了 aspf apply policy命令，那么只对策略中配置的 detect协议进行 ASPF检测，其他协议不进行检测。如果不配置 detect icmp，那么如果没有配置反向域间策路，报文就被deny了。可以使用下面命令打开 debug： debugging packet-filter packet ip acl ? INTEGER Specify a basic ACL INTEG

27、ER Specify an advanced ACL 来看是否有 deny信息，如果有类似下面信息： *Dec 12 16:49:07:188 2013 H3C FILTER/7/PACKET: -Slot=3.1; The packet is deny. Sr cZoneName=tom1, DstZoneName=tom; Packet Info:Src-IP=220.1.1.2, Dst-IP=10.1.1.1, VPN-Instance=none,Src-Port=1024, Dst-Port=1025, Protocol=UDP(17), ACL=none. H3C 安全产品日常维

28、护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 15页，共 31页说明没有正确配置 ASPF策略，导致被反向域间策略 deny了。 3.3 动态 NAT转换故障 (以动态 nat outbound为例 ) 3.3.1 故障描述 1. 组网图 F 5 0 X 0P C 1 1 9 2 . 1 6 8 . 1 . 2P C 24 . 4 . 4 . 6 2. 组网需求 PC1访问 PC2，在 F50X0上对 PC1的地址进行 NAT转换，转换地址池为： 4.4.4.25到 4.4.4.30。 3. 配置步骤 F50X0配置： nat address-group 0

29、 address 4.4.4.25 4.4.4.30 interface Route-Aggregation1023 -入接口配置 ip binding vpn-instance vpn11 ip address 192.168.1.254 24 interface Route-Aggregation1021 ip address 4.4.4.254 255.255.255.0 nat outbound address-group 0 4. 故障现象 NAT不能正常转换或者 NAT转换的报文不能正常转发。 3.3.2 故障处理步骤 1. 首先确认 nat outbound 的配置是否正确 H

30、3Cdisplay nat outbound NAT outbound information: There are 1 NAT outbound rules. H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 16页，共 31页 Interface: Route-Aggregation1021 ACL: - Address group: 257 Port-preserved: N NO-PAT: N Reversible: N 2. 打开 debugging nat packet，确认 debugging信息是否正确，应有类似如下debu

31、gging信息： *Dec 13 09:58:48:083 2013 H3C NAT/7/COMMON: -MDC =.1; PACKET: (Route-Aggregation1021-in) Protocol: TCP 4.4.4.6: 21 - 4.4.5.11:11000(VPN: 0) - 4.4.4.6: 21 - 192.168.1.2:13249(VPN: 16) 注： # 可以看到正向的流量做了 NAT转换，从 vpn11的域转成了没有 vpn的域。 3. 通过 display session table ipv4 verbose 命令，确认会话信息是否正确。 disp

32、lay session table ipv4 verbose Initiator: Source IP/port: 192.168.1.2/13790 Destination IP/port: 4.4.4.6/21 DS-Lite tunnel peer: - VPN instance/VLAN ID/VLL ID: vpn11/-/- Protocol: TCP(6) Responder: Source IP/port: 4.4.4.6/21 Destination IP/port: 4.4.4.27/1060 DS-Lite tunnel peer: - VPN instance/VLAN

33、 ID/VLL ID: vpn12/-/- Protocol: TCP(6) State: TCP_ESTABLISHED Application: FTP Start time: 2013-12-15 10:49:00 TTL: 3592s Interface(in) : Route-Aggregation1023 Interface(out): Route-Aggregation1021 Zone(in) : Trust Zone(out): menglei Initiator-Responder: 3 packets 128 bytes Responder-Initiator: 2 pa

34、ckets 130 bytes H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 17页，共 31页 4. 如果上述定位手段均不能作出结论，请联系相关技术支持人员协助分析 3.4 静态 NAT444转换故障 3.4.1 故障描述 1. 组网图 1 9 2 . 1 6 8 . 1 . 24 . 4 . 4 . 6P C 1P C 2F 5 0 X 02. 组网需求 PC1访问 PC2，在 F50X0上对 PC1的地址进行静态 NAT444转换，转换公网地址池为： 4.4.5.11到 4.4.5.13。 3. 配置步骤 F50X0配置： # 配

35、置 NAT444地址池。 nat port-block-group 256 local-ip-address 192.168.1.2 192.168.1.11 vpn-instance vpn11 global-ip-pool 4.4.5.11 4.4.5.12 block-size 1000 port-range 10000 19000 # 配置入接口。 interface Route-Aggregation1023 ip binding vpn-instance vpn11 ip address 192.168.1.254 24 # 配置出接口。 interface Route-Aggre

36、gation1021 ip address 4.4.4.254 255.255.255.0 nat outbound port-block-group 256 # 配置 vpn instance到公网之间路由。 H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 18页，共 31页略 4. 故障现象 NAT444不能正常转换、 NAT444转换的报文不能正常转发、反向报文无法正常转发。 3.4.2 故障处理步骤 1. 确认 NAT444 的地址和端口块设置的正确性 display nat port-block-group 256 Port

37、block group 256: Port range: 10000-19000 Block size: 1000 Local IP address information: Start address End address VPN instance 192.168.1.2 192.168.1.11 vpn11 Global IP pool information: Start address End address 4.4.5.11 4.4.5.12 2. 确认端口块数和公网地址是否满足私网地址的需求这里，每一个私网需要的端口块的端口个数为： 1000。私网地址段 192.168.1.

38、2 -192.168.1.11共有 10个私网地址：共需要 1个地址块。端口范围设置为： 10000-19999，因此每一个公网地址可以提供 9个地址块。因此，从上面的配置分析， 10个私网地址需要 2个公网地址，这里的设置满足需求。 H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 19页，共 31页 3. 通过 debugging nat packet，查看 NAT444转换 debugging信息。 4. 通过 display session table ipv4 verbose 命令，查看会话是否正确。 5. 如果这些都解决

39、不了问题。请联系技术支持人员进行分析。 3.5 设备作为出口网关设备割接之后， NAT业务不通，但是接口地址可以 ping通 3.5.1 故障描述 F50X0作为出口网关设备割接之后，内网部分用户无法上网，外网用户无法访问内网服务器，但是从外网 ping出接口的地址可以 ping通。 3.5.2 故障处理步骤 (1) 确定 NAT 地址池是否和接口地址是同一个网段：如果 NAT 地址池的地址和接口地址不在同一网段， NAT 地址池的地址无法响应。如果不在同一网段，要确保对端设置了 NAT 地址池的路由 (2) 割接后，如果地址池中的地址或 NAT server 地址和接口在同一网段，确认地

40、址池中的地址或者 NAT server 地址是否发送了免费 ARP，可以通过直连对端设备进行确认。还需要确认对端学习到的 ARP 的 MAC 地址的正确性：设备割接时，对端设备需要更新 ARP。当两端不是直连，对端设备不能感知到链路 Down 过，所以不能删除相关 ARP 表项。当设备上线后，本端接口会发送接口地址的免费 ARP，对端设备收到该免费 ARP 后可以正常更新该 ARP 表项；但可能存在地址池中的地址 ARP 没有刷新。 (3) debug 或者抓包分析，是否 ping 报文只有发出去的而没有回来的，存在转发异常的情况。 (4) 持续地 ping NAT 地址池或者

41、NAT server 的地址，打开 ARP 的 debug 开关，确认是否没有收到 ARP 请求报文。 (5) 如果无法确认定位，请联系技术支持人员进行分析。 H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 20页，共 31页 3.6 IPSec SA可以成功建立，但是 IPSec保护的流量不通 3.6.1 故障描述 1. 组网图 I P S e c 隧道F 5 0 X 0 - 1 F 5 0 X 0 - 2P C 18 1 . 2 . 1 . 2P C 2 8 2 . 2 . 1 . 2 2. 组网需求 F50X0-1和 F50X0-

42、2 2台防火墙设备之间建立 ipsec隧道，对 PC1和 PC2之间访问的流量进行 IPsec保护。 3. 配置描述 F50X0-1上， ike的 local-address为： 81.2.0.1， remote-address为： 14.5.1.1。安全 acl规则为： rule 0 permit ip source 81.2.0.0 0.0.0.255 destination 82.2.0.0 0.0.0.255 F50X0-2上， ike的 local-address为： 14.5.1.1， remote-address为： 81.2.0.1。安全 acl规则为： rule 0 pe

43、rmit ip source 82.2.0.0 0.0.0.255 destination 81.2.0.0 0.0.0.255 4. 故障描述 IKE SA和 IPsec SA都可以建立，但是 PC1 和 PC2互相 ping，均不能 ping通。 3.6.2 故障处理步骤（以分析 F50X0-2为例） (1) 首先查看保护的 ACL 是否匹配，和用户要保护的流量是否一致。 (2) 在 F50X0-2 上，首先查看 IKE SA 和 IPsec SA 是否正确，如下：查看 IKE SA： H3Cdisplay ike sa Connection-ID Remote Flag DOI - 2

44、50 81.2.0.1 RD IPSEC Flags: H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 21页，共 31页 RD-READY RL-REPLACED FD-FADING 查看 ipsec sa： H3Cdisplay ipsec sa - Interface: GigabitEthernet2/0/0/11 - - IPsec policy: ipsec3 Sequence number: 1 Mode: template - Tunnel id: 0 Encapsulation mode: tunnel Perfect

45、forward secrecy: Path MTU: 1443 Tunnel: local address: 14.5.1.1 remote address: 81.2.0.1 Flow: sour addr: 82.2.0.0/255.255.255.0 port: 0 protocol: ip dest addr: 81.2.0.0/255.255.255.0 port: 0 protocol: ip Inbound ESP SAs SPI: 2591894802 (0x9a7d2d12) Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5 S

46、A duration (kilobytes/sec): 1843200/3600 SA remaining duration (kilobytes/sec): 1843200/3543 Max received sequence-number: 0 Anti-replay check enable: Y Anti-replay window size: 64 UDP encapsulation used for NAT traversal: N Status: active Outbound ESP SAs SPI: 1227548757 (0x492ae855) Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5 SA duration (kilobytes/sec): 1843200/3600 SA remaining duration (kilobytes/sec): 1843200/3543 Max sent sequence-number: 0 H3C 安全产品日常维护指导书有限公开 2016-03-29 H3C机密，未经许可不得扩散第 22页，共 31页 UDP encapsulation used for NAT traversal: N Status: active (3) 如果上述

展开阅读全文