西安华彩网络-西安新华三代理-H3C代理-华为代理-锐捷代理-武汉烽火代理-奇安信代理-曙光中科-海康威视代理

常见问题

常见问题

某局点MSR830 和总部MSRV7 对接IPsec 不成功问题处理

日期：2018-11-13 浏览量：0次

组网及说明

无

问题描述

某局点总部采用MSRV7 设备和各分支MSR830 对接IPsec，现场其他分支都已正常，但是由于业务增加，需要另增加一个分支，IPsec配置跟其他分支都一致，但是新增加的分支IPsec 一直无法建立起来，查看debug信息第一阶段都正常，但是一直在重传第二阶段的报文。

过程分析

关键debug信息：
*Aug 17 13:51:53:014 2018 center IKE/7/PACKET: vrf = 0, src = 183.252.16.x, dst = 183.251.95.x/33798
Sending packet to 183.251.95.x remote port 33798, local port 4500. //发送第二阶段报文给对面
*Aug 17 13:51:53:014 2018 center IKE/7/PACKET: vrf = 0, src = 183.252.16.x, dst = 183.251.95.x/33798
I-COOKIE: 9a2dc5d39198137a
R-COOKIE: dbc7a3965defb1b9
next payload: HASH
version: ISAKMP Version 1.0
exchange mode: Info
flags: ENCRYPT
message ID: ad5c2db0
length: 84
*Aug 17 13:51:53:015 2018 center IKE/7/PACKET: vrf = 0, src = 183.252.16.x, dst = 183.251.95.x/33798
Sending an IPv4 packet.
*Aug 17 13:51:53:015 2018 center IKE/7/EVENT: vrf = 0, src = 183.252.16.x, dst = 183.251.95.x/33798
Sent data to socket successfully.
*Aug 17 13:51:53:269 2018 center IKE/7/PACKET: vrf = 0, src = 183.252.16.x, dst = 36.157.202.x/14089
Retransmit phase 2 packet. //没有收到对面的回应，重传第二阶段的报文
*Aug 17 13:51:53:269 2018 center IKE/7/PACKET: vrf = 0, src = 183.252.16.x, dst = 36.157.202.x/14089
Sending packet to 36.157.202.x remote port 14089, local port 4500.
*Aug 17 13:51:53:269 2018 center IKE/7/PACKET: vrf = 0, src = 183.252.16.x, dst = 36.157.202.x/14089
I-COOKIE: e38c3cf0b9c36679
R-COOKIE: 65ca3aeb14c44f2e
next payload: HASH
version: ISAKMP Version 1.0
exchange mode: Quick
flags: ENCRYPT
message ID: 71a4e0e6
length: 164
后续多次debug 分析，都是同样的debug 信息，总部一直在发源端口是4500的报文，但是一直没有收到分支的回包，怀疑是中间线路对端口有限制，建议联系运营商确认。

解决方法

最终更换运营商线路之后，测试IPsec 正常建立成功。

上一篇：某局点SecPath F1000-AK135(V7) 多条pppoe拨号线路配置了

下一篇：无线干扰问题通用排查