总部由于之前防火墙出过几次问题,于是最近规划更换防火墙,把从原先的H3C墙换成山石墙,换完以后那几天vpn连接就有点不稳定,偶尔会有丢包,但是访问业务还算正常,但是就在那天下午我和总部之间分别加了一条感兴趣流,让某个业务系统可以相互访问,然而在第二天使用VPN连接的业务便开始出现大量丢包,且连通性一会正常,一会断开,公网之间测试网络连通性正常,那么问题便出现在了两端设备建立VPN的身上。
于是我便和青岛那边的山石厂家技术沟通,一起排查原因,山石墙上看到的是两条vpn有一条老是第二阶段老是协商失败,而我在华三墙的看到的确实第一阶段来时协商不起来,查看两端参数,都是一样的,后来在山石那边通过debug显示的日志检查出来,原来是因为两端感兴趣流不一致导致的,不同品牌墙之间建立IPSEC VPN建立连接,需要做到感兴趣流一致,才能正常协商起来,于是我们在重新梳理两边的感兴趣流,两端感兴趣流调整完一致后,观察了一会,确实不丢包了,然后告诉业务部门,业务系统可以正常使用了。。。。。
