1、故障现象
在路由器上查看isakmp sa和ipsec sa都已经成功建立,但通过ipsec保护的业务无法正常通信
1)查看isakmp sa,成功建立:
Ruijie#show crypto isakmp sa
destination source state conn-id lifetime(second)
1.1.1.2 1.1.1.1 IKE_IDLE 33 16
2)查看ipsec sa,成功建立:
Ruijie#show crypto ipsec sa
.......
Inbound esp sas:
spi:0xce00b96 (216009622)
......
Outbound esp sas:
spi:0x3d71525c (1030836828)
......
3)通过ping或实际业务测试,发现通过ipsec保护的数据业务不通
2、故障可能原因
1)路由配置错误
2)感兴趣流配置错误
3)感兴趣流重叠
3、故障处理步骤
步骤1、检查IPSEC两端的路由配置
1)检查IPSEC客户端的路由,通过show ip route查看路由条目,确保去往中心网段路由的出口为已经配置了ipsec crypto map的出口。
2)检查IPSEC中心端的路由,通过show ip route查看路由条目,确保