| 配置华为防火墙与华为AR系列路由器建立GRE over IPSec隧道 | 您所在的位置:网站首页 › ar1220c-S路由器配置使用说明书 › 配置华为防火墙与华为AR系列路由器建立GRE over IPSec隧道 |
|
PC1和PC2之间可以相互Ping通。以PC1 Ping PC2为例。C:\Users\huawei> ping 10.1.2.2
Pinging 10.1.2.2 with 32 bytes of data:
Reply from 10.1.2.2: bytes=32 time=9ms TTL=126
Reply from 10.1.2.2: bytes=32 time=9ms TTL=126
Reply from 10.1.2.2: bytes=32 time=9ms TTL=126
Reply from 10.1.2.2: bytes=32 time=9ms TTL=126
Ping statistics for 10.1.2.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 9ms, Maximum = 9ms, Average = 9ms
虽然IPSec隧道建立成功了,私网可以相互Ping通,但是如何判断业务报文IPSec隧道传输呢?这里介绍常见两种办法供大家参考。 查看display ipsec sa命令回显信息中max sent sequence-number字段的值。这个字段原本是为抗重放功能设计的,设备的IPSec隧道每发出一个报文,这里的sequence-number就相应加1。这样一来,我们就可以利用该字段值的变化来判断流量是否经过这条IPSec隧道传输了。例如,分支用户向总部用户发送了5个ICMP报文,如果这5个ICMP报文是经过这条IPSec隧道传输的,那么对应这条隧道的IPSec SA中sequence-number的值将会增加5。反之,如果这里sequence-number的值没有增长或者增长数目不对,则说明这些报文没有经过这条IPSec隧道传输或者是这条IPSec隧道有异常。查看display ipsec statistics命令回显信息中input/output security packets字段的值。通过该值的变化可以判断报文是否经过IPSec隧道传输。例如,input/output security packets: 4/4,说明IPSec隧道发出去了4个报文,也收到了4个报文。这两种方法虽然都可以查看IPSec隧道中报文的变化,但是第一种方法可以观察到指定IPSec隧道的报文变化;而第二种方法是全局性的统计信息,观察的是整个设备的IPSec隧道报文变化。如果设备同时存在多条隧道,则第二种方法就不太适用了,所以推荐使用第一种办法查看。 对于流量触发建立IPSec隧道,首个业务报文不会进入隧道封装,会被丢弃掉。这是因为首包发出时,IPSec隧道还未建立,无法进行转发。例如,分支用户向总部用户发送了10个ICMP报文,实际使用display ipsec statistics命令查看时,统计信息中可能显示只有9个报文,这属于正常情况。 |
| 今日新闻 |
| 推荐新闻 |
| 专题文章 |
| CopyRight 2018-2019 实验室设备网 版权所有 |