案例描述

总部和分支需要进行IPSEC VPN进行互访

1.问题描述

两端配置完IPSEC VPN后DIS IEK SA DIS IPSEC SA都可以看到隧道已经建立起来就是不能通信

2.问题分析

可能感兴趣流没有走隧道而是被NAT出去了，导致数据流没有走隧道。

3.排查

先DIS ACL看了一下是否有命中，然后在看NAT会话是否有数据流的会话。查看后数据流直接走的是隧道也就是被NAT出去了

4.分析

应该是ACL或者是策略没有生效。配置如下

 policy 1
  action source-nat
  policy source 172.19.156.0 0.0.0.255
  policy source 192.168.0.0 0.0.0.255
  easy-ip Dialer1
 policy 2
  action no-nat
  policy destination 172.19.112.0 0.0.7.255

POLICY 2为数据保护流，默认是有一个匹配关系先匹配1然后在匹配2所以导致没有走隧道，将其改为

 policy 0
  action no-nat
  policy destination 172.19.112.0 0.0.7.255

 policy 1
  action source-nat
  policy source 172.19.156.0 0.0.0.255
  policy source 192.168.0.0 0.0.0.255
  easy-ip Dialer1

IPSEC VPN数据可以正常通信。

5。总结

这种问题先应该先分析一下可能出现的问题，先看一下隧道是否建立，然后在看加密是否正确，然后在看数据保护流是否正确，基本就是这几点，然后就是NAT穿越，基本问题都会出在这向个点上。

又学习啦，IPSEC，非常好呐~

@风之力 @无名小卒X @江湖小黑龙 @king @坐墙头等红杏 @龙之心 @ruanhuian @嘟嘟飞 @梅山龙少 @wanjun.cs @芋呢 @三四三 @风轻云淡 @建赟 @NARI_WU @faz @ccc @雨楼听雪 @wlx_dgg @你太天真 @xiongrong @CherrySunshine @hetao.yc @凌波微步 @新葫芦娃 @猪猪影院 @东方未名 @知名不具 @西之园兔有
大家帮忙顶下贴啊~

支持

学习了