山石华为IPsec已协商成功但内网互通不通

以下回复参考：皆我百晓生、券券喵儿等免费微信小程序作答:

华为USG6500与山石SG6000建立IPsec对接时，虽然阶段1和2已成功建立，但内网间无法PING通的问题，可能由多种原因造成。以下是详细的分析：

1. 运营商网络限制

   • 报文头检查：需要确认运营商网络是否对IPSec报文进行了限制，这可能导致了业务不通。
   • AH/ESP报文丢包：通过获取报文头查看是否有AH或ESP报文丢包的情况，可以确认是否存在运营商网络的限制问题。

2. 路由可达性

   • Ping测试：执行Ping命令检查PC到网关、IPSec对等体到被保护的私网的路由是否可达。
   • 接口和路由表检查：如果Ping不通，需要检查接口状态和路由表配置是否正确。

3. 安全策略配置

   • Security ACL检查：查看Security ACL协商出的被保护的数据流，其源和目的网段是否包含真实的业务流。
   • ACL配置正确性：如果协商出的被保护的数据流没有包含真实的业务网段，需要检查两端的ACL配置是否正确。

4. NAT策略干扰

   • NAT与IPSec模块关系：由于IPSec模块位于NAT模块之后，需要确保NAT策略不影响IPSec对保护的数据流的处理。
   • Server MAP表检查：查看Server MAP表中的源IP地址和目的IP地址，确保无干扰。

5. 安全区域配置

   • 域间配置信息：检查安全区域的域间配置信息，确保IPSec保护的数据流能够从Trust域送到Untrust域。

6. IPSec策略应用

   • 策略检查：检查IPSec策略是否在接口应用，应用的接口是否正确。

7. 认证算法不一致

   • 加解密方式：检查两端的SHA2-384或SHA2-512认证算法加解密方式是否一致。
   • 兼容性命令：可能需要执行兼容性命令，如IPsec sha2 compatible enable或undo IPsec sha2 compatible enable，使得两端的加密解密方式一致。

8. 多出口场景下的路由选择

   • 策略路由检查：在多出口的场景下，检查报文是否命中了策略路由，而没有进入IPSec隧道。

此外，为了进一步帮助用户解决问题，还可以考虑以下方面：

• 日志分析：检查设备的日志，看是否有相关告警或错误提示。
• 设备配置核对：仔细核对两端设备的配置，确保没有遗漏或错误。
• 网络抓包：在可能的情况下，进行网络抓包分析，以确定数据包是否按照预期传输。

总的来说，IPsec隧道建立成功后业务不通的问题可能由多种因素导致，包括运营商网络限制、路由可达性问题、安全策略配置不当、NAT策略干扰、安全区域配置错误、IPSec策略未正确应用以及认证算法不一致等。解决此类问题需要综合考虑各种可能性，并逐一排查。在进行故障排除时，应充分利用设备的日志和配置信息，必要时进行网络抓包分析，以便更准确地定位问题所在。同时，保持与设备供应商的沟通，以便获取最新的技术支持和解决方案。