Проблема, связанна с настройками параметра алгоритма аутентификации IPSec ESP туннель up, когда мы используем любую конфигурацию этого параметра (no-auth, md5, sha1), но down, когда мы используем SHA2-256.
Решение:
1) применяем команду: display ipsec proposal
Когда IPSec использует алгоритм SHA-2, если устройства на двух концах туннеля IPSec от разных поставщиков или используют разные версии программного обеспечения, они могут использовать разные методы шифрования и дешифрования. В этой ситуации трафик между устройствами прерывается.
Чтобы решить эту проблему, выполните команду:
#ipsec authentication sha2 compatible enable в system-view
чтобы SHA-2 был совместим с более ранними версиями.
2) Если не помогло первое решение:
По умолчанию последовательность полезной нагрузки в пакетах DPD на IKE пирах AR-устройств Huawei имеет вид seq-notify-hash.
Если устройства на обоих концах туннеля IPSec принадлежат разным поставщикам, последовательность полезной нагрузки в пакетах DPD на обоих устройствах может отличаться.
В этом случае нужно выполнить команду «dpd msg seq-hash-notify» в IKE peer view, чтобы изменить последовательность полезной нагрузки в пакетах DPD на указанном узле IKE в hash-notify. Узлы на обоих концах туннеля IPSec должны использовать одну и ту же последовательность полезной нагрузки в пакетах DPD; в противном случае DPD не работает.