Ipsec在H3C MSR 810 與飛塔防火墻之間建立,保護(hù)的是192.168.240.0/24到192.168.101.0/24之間私網(wǎng)數(shù)據(jù)流。
問題描述在H3C MSR 810和Test Fortigate之間已經(jīng)成功建立IPsec隧道�����。階段1(IKE V2)和階段2(IPsec)都已建立����。MSR 810側(cè)私網(wǎng)地址192.168.240.1 ping 192.168.101.153,但只有一個icmp數(shù)據(jù)包能通����。
過程分析在H3C MSR 810和Test Fortigate的外網(wǎng)口抓包看。Test fortigate已經(jīng)收到了MSR 810的加密ESP包����,但是Test fortigate只回復(fù)了一個。 ping成功回一個包的情況有兩種:
1)當(dāng)重置H3C MSR路由器中的ike或ipsec會話時(shí)�,Test Fortigate會回復(fù)一個數(shù)據(jù)包。
2)MSR下的終端持續(xù)ping���,Test Fortigate會偶爾回復(fù)一個包�����。
進(jìn)行如下測試:
1)當(dāng)在 MSR 810和Test Fortigate中使用IKE v1時(shí)���,ping測試是沒有問題的��,所有包都能通��。
2)使用兩個相同型號的H3C MSR設(shè)備相互連接�,用IKE v2也沒有問題��。
3)測試了Fortigate的2個版本��,都有這個問題: FortiOS v6.4.5 build1828(GA) /FortiOS v7.0.0 build 0066(較新版本)
在MSR上看Ipsec加密后的ping包ESP包已經(jīng)發(fā)出�,且已經(jīng)到達(dá)了Fortigate側(cè),對端外網(wǎng)口抓包看只回了一個�����,這個需要重點(diǎn)排查Fortigate側(cè)����。
解決方法默認(rèn)情況下, Fortigate側(cè)中NPU Offload Function處于啟用狀態(tài)����,在Fortigate側(cè)禁用NPU卸載功能時(shí)�,故障恢復(fù)。
