IPSec 域间策略常见问题

1. 网络拓扑

1.1 清除IPSec安全联盟

如果用户需要对安全策略重新配置，为了使新配置的安全策略生效，可以执行下列操作清除IPSec安全联盟。

reset ipsec  sa

说明：

• 此操作将只清除通过手工方式建立的安全联盟和通过IKE协商建立的阶段2的安全联盟。如果未指定参数，则清除所有通过手工方式建立的和通过IKE协商建立的阶段2的安全联盟。
• 对于通过Manual方式协商建立的安全联盟，被清除后系统会根据手工设置的参数立即创建新的安全联盟。
• 对于通过IKE方式协商建立的安全联盟，被清除后如果有报文重新触发IKE协商，IKE将重新协商建立安全联盟。
• 如果指定参数parameters，由于安全联盟是成对出现的，清除了一个方向安全联盟的参数，另一个方向安全联盟的参数也随之被清除。

1.2 清除IPSec统计信息

当对IPSec进行调试时，如果IPSec的统计信息比较多不便于查看，可以执行以下操作清除IPSec统计信息。

reset ipsec  statistics 

1.3 清除IKE安全联盟

如果用户需要对安全策略重新配置，为了使新配置的安全策略生效，可以执行下列操作清除IKE安全联盟。

reset ike sa 

说明：
清除IKE安全联盟时需要注意：

• 在清除指定的安全联盟时，需要指定connection-id，通过命令display ike sa可以显示当前安全联盟的connection-id信息。
• 清除本地的安全联盟时，如果阶段1的ISAKMP SA还存在，将在此安全联盟的保护下向对端发送清除消息，通知对方清除安全联盟数据库。
• 如果未指定connection-id，所有的阶段1的安全联盟都会被清除。

2 域间安全策略调试

假设其他配置都正确，只有域间安全策略配置异常情况下

2.1 USG A 状态为NEG–NEGOTIATING

2.1.1 查看iks sa状态

2.1.2 PC1 ping PC3，抓包查看只有Request包

2.1.3 原因

因为此时只有USGA配置了域间安全策略，USGC没有配置

2.2 USG A 状态为RD|ST

RD–READY ST–STAYALIVE

2.2.1 查看iks sa状态

2.1.2 PC1 ping PC3，抓包查看有Request和Response包

2.1.3 原因

因为此时只有USGA和USGC都配置了域间安全策略

USGA

USGC

2.3 PC1与PC3直接

2.3.1 PC1能ping PC3，但是PC3不能ping PC1

2.3.2 域间安全配置

USGA没有配置 trust untrust inbound

USGC 有配置 trust untrust inbound