首页 >服务与支持 >常见问题 >【IPsec系列】IPsec建立成功，感兴趣流不通

【IPsec系列】IPsec建立成功，感兴趣流不通

发布时间：2024-06-13

点击量：522

案例01 IPSEC异常，内网口异常频发DOWN

关键字

丢包、Line-quality

（一）故障现象描述

某单位反馈使用我司EG2000F作为出口设备，承载内网上网业务。突然出现网络异常，专线IPSEC业务不通的故障。

网络拓扑简介：

拓扑描述：EG作为出口和总部设备建立IPSECvpn，内网环境为三层结构。

（二）故障处理分析

通过现场信息收集，分析EG到运营商网关出现丢包和延迟现象。

EG直连运营商的光猫，使用EG去访问运营商光猫的网关地址192.168.1.1时会出现丢包，当出现丢包时，由于设备使用line-quality track探测功能，当探测地址不可达时，会强制EG设备执行SHUTDOWN Gi0/0接口，影响下联业务使用。

如图：
当到运营商网关丢包时，探测的报文分析怀疑也出现丢包问题，导致line-quality执行down操作。

1、设备通过运营商接口和总部建立IPSEC，也频发DPD超时故障。当前DPD设置时间为10s探测一次，当探测不通，进行5*3探测检测。如果3次都不通，就会提示DPD超时。超时后隧道进行拆除，也会导致track探测报文无法通过隧道到总部进行探测，导致track down。

2、在故障2的基础上修改DPD超时时间，发现还是存在SHUTDOWN 接口的问题，但没有在出现DPD超时的故障了。

修改DPD超时时间
如图：

3、在EG的web界面使用抓包工具进行抓包，使用源地址192.168.1.2，目的地址IPSEC地址，抓取udp报文，并且使用console登录EG进行ping。
ping 192.168.68.1 source 172.20.38.12 length 1000 ntimes 1000，当出现丢包时，192.168.1.2出去的包时正常的，但是运营商回来的包很少，回包的速率很慢，大概30s才回一个包。

4、当EG到运营商光猫的网关地址192.168.1.1恢复正常时，eg到设备到总行的ping也恢复正常。

说明运营商存在ESP报文丢包和延迟的情况