两台华为防火墙IPsec连接不稳定原因之一的解决方式

最新推荐文章于 2023-12-18 16:06:11 发布
最新推荐文章于 2023-12-18 16:06:11 发布
阅读量3.8k 收藏 3
点赞数
分类专栏: 网络工程 文章标签: 华为 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq453198/article/details/122229390
版权

背景:

FW1有多条互联网线路接入,固定ip地址线路仅1条,已配置策略路由。
FW2仅1条固定ip线路。
FW1和FW2初次部署,ipsec匹配成功,但是网络访问不稳定,会时不时的断开。

解决方案:

经检查,发现是ipsec会时不时的断开,造成网络访问不稳定。ipsec诊断为第一阶段协商超时…

查看FW1和FW2的会话,以对端的固定IP地址为目标地址进行查询,发现FW1的会话显示:源区域是untrust2 ,但是源固定ip地址的接口安全区域为untrust。FW2的会话查询结果显示暂无异常。
FW1的源安全区域出口异常的解决方式(下班后进行,此防火墙与业务不相干):

1、停用ipsec,查看会话中匹配的安全策略,进行停止;
#查看会话表显示,仍然异常。
2、禁用安全策略中trust与untrust2安全区域相关的策略;
#查看会话表显示,仍然异常。
3、检查NAT策略、清理ipsec内网网段的策略路由;
#查看会话表显示,仍然异常。
4、新增一条静态路由——到FW2的公网固定ip地址。
#查看会话表显示,发现出口安全区域正常。

总结

防火墙多出口时,源区域异常导致配置ipsec连接不稳定解决方案是

新增一条静态路由强行指定出口和目标ip地址
或许1、2、3的步骤仍然是解决此问题的前提条件。
青菜萝卜秧
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
华为防火墙实现单点登录方式.docx
01-04
在实验中,需要用到华为ensp、VM虚拟机,里面要安装Windows server和一个能加域的PC,可以使用Windows server 2012和Windows 10,两台虚拟机使用同一块网卡,通过cloud2桥接上来,cloud1桥接防火墙管理口,方便进行...
IPSec VPN自动断开的问题
pocher的博客
12-18 1537
需要检查下DPD检测有没有开启,如果没有开启超过链接生存周期后就会自动断开,DPD检测相当于Keepalive机制。
服务经过多条ipsec链路出现不稳定问题
complay_ly的博客
03-27 2223
最近发现,有些服务经常会出现服务丢包、无法传送大文件、服务不稳定等问题。基础网络很稳定,没有发现问题。服务本身在小内网测试也很稳定。经过排查,怀疑可能是中间链路经过了多条IPsecVPN导致报文过长,拆分报文后组合过程出了问题 解决方法,IPsecVPN设备在接口模式下:clear ip df 关闭报文分片 ...
防火墙IPSec VPN(预共享密钥-多子网)
weixin_44080599的博客
06-01 971
奇安信防火墙 IPSEC VPN 详解
Fortigate疑难杂症之 - IPSec传输大文件中断/其他异常中断
RaySun的技术Blog
08-03 1119
IPSec两端的防火墙设备的IKE端口更改为非默认端口将IPSec两端的协商模式由主动模式改为野蛮模式。
华为防火墙 IPSecVP* 排错命令
一直被模仿,从未被超越
02-03 1293
4、清除特定对端的ike sa信息,让链接重新建立。8、查看IKE协商建立的IPSec隧道被删除的信息。9、查看 IP 是从哪个接口出去的。6、查看 指定目地地址 会话。2、查看 ipsec 连接。1、查看 ike 连接。3、显示 ike 错误。5、查看 ike 会话。
cisco 双ISP线路接入 链路自动切换方案
weixin_34150830的博客
08-02 334
最近接到的一个项目,客户总部在惠州,分部在香港,在香港分部设有ERP服务器与邮件服务器,总部出口为铁通10M光纤与网通1M DDN 专线(新增),原总部是用netscreen 防火墙与香港的pix 515作IPsec ×××对接,现客户要求是新增一条网通DDN专线用来专跑ERP数据业务,就是要求平时总部去分部访问ERP服务器的数据走DDN专线,访问邮件服务器的数据走ipsec...
华为防火墙IPSec站点到站点实验配置
最新发布
05-17
该实验使用华为防火墙USG6000v,在两个局域网的出口网关之间建立IPSec隧道,实现局域网之间通过IPSec隧道互访。
【强强对接】H3C篇 H3C防火墙与华为防火墙对接案例汇总集.rar
09-15
【强强对接】H3C篇 H3C网关以模板方式与NGFW建立IPSec隧道 【强强对接】H3C篇 NGFW与H3C网关在NAT穿越场景下建立IPSec隧道 【强强对接】H3C篇 NGFW与H3C网关建立GRE overIPSec隧道 【强强对接】H3C篇 NGFW以策略...
华为防火墙网络连接配置.flv
08-31
华为防火墙 USG2000、USG5000、USG6000和USG9500构成了华为防火墙的四大部分,分别适用于不同的环境需求,其中,USG2000和USG5000系列定位于UTM(统一威胁管理)产品,USG6000系列属于下一代防火墙产品,USG9500系列...
ORA-03135 防火墙超时设置断开db link 连接
dgn7151的博客
09-23 819
【现象】 应用使用数据库连接池,访问A库时通过dblink查询B库,应用时不时会报错ORA-02068和ORA-03135。 【过程还原】 当应用获取了一个数据库连接,并在数据库连接中使用了dblink,如果应用到A库的连接不释放,则A库到B库的dblink 连接也不释放;当A库到B库的dblink连接由于长时间无数据被防火墙设备断开后,如果应用再次从连接池...
Ipsec ikev1的坑
willwillwang的博客
12-30 262
当时建完了是很稳定的,跑了大约几个月的时间,后来因为一次变更变得不稳定了。
【隧道篇 / IPsec】(5.6) ❀ 06. 多条 IPsec 冗余 ❀ FortiGate 防火墙
防火墙技术专栏
09-03 5211
【简介】当多个分部连接总部的时候,我们可以使用点对多的IPsec VPN,但是缺点就是,如果总部的这条宽带临时出现问题,所有的VPN将会断开,严重影响业务,解决的办法就是用二条宽带做冗余IPsec VPN,这样一条宽带出现故障,另一条宽带的VPN还是可以正常使用。 冗余 VPN 问题 我们在做点对多IPsec VPN的时候知道,总部是不用建立返程路由的,都......
公网ip经常变动的解决方法
热门推荐
王加伦的技术分享
08-11 2万+
解决公网ip经常变动 问题 ​ 家里申请了电信的公网ip, 但是如果停电或者重新拨号都会导致这个ip变更.很多配置好的应用都需要重新配置ip地址太麻烦了 思考 现成的产品类似花生壳这些内网穿透都要收费或者限速, 我已有公网ip感觉不划算 想到了域名配置dns解析, 应用里面都配置域名代替ip地址.每次ip变了我只需要去改一下域名的dns解析就可以了 但是还会有问题, 每次都需要手动改一下, 并且还必须得连上家里网才能知道最新的公网ip 查了阿里云/腾讯云/华为云等等dns解析都对外提供了api文
【线上问题】由防火墙导致的空闲连接断开问题
编码行者的博客
12-20 2379
问题描述 公司一个新项目上线,处于试运行阶段,这个项目虽然是外网可访问的,故部署在了 DMZ 区,但试运行阶段只给了公司内少部分员工地址和账号(其中包括一些领导),故访问量很小,但项目还是挺重要的。 试运行阶段中,项目应用日志中不定期会报异常,尤其是在刚上午刚开始使用时,还有空闲一段时间后再次使用时,具体异常如下: ERROR [com.alibaba.druid.util.JdbcUtils] - close connection error java.sql.SQLRecoverableExcepti
【逗老师的小技巧】win10 l2tp ipsec 无法连接解决方案
逗老师的博客
04-29 4014
1、单击“开始”,单击“运行”,键入“regedit”,然后单击“确定” 2、找到下面的注册表子项 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters 3、“新建”->“DWORD值” 名称“ProhibitIpSec”,键值“1” 4、找到下面的注册表子项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent 5、“新建”-&gt
华为防火墙ipsec对接华三防火墙
11-01
华为防火墙与华三防火墙之间的IPSec对接,是指通过IPSec协议实现两个防火墙之间的安全通信和数据传输。下面是一个简单的说明步骤: 1. 配置华为防火墙:首先,在华为防火墙上配置与华三防火墙对接的IPSec通道。配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值