步骤3：检查IPSEC ISAKMP SA是否已经协商成功

通过在3G客户端路由器和LNS上执行show crypto isakmp sa命令来确认ipsec isakmp sa是否已经协商完成：

Ruijie#show crypto isakmp sa

 destinationsourcestateconn-idlifetime(second)

 1.1.1.21.1.1.1IKE_IDLE3316 

只有输出了isakmp sa的相关信息，且isakmp sa状态为“ IKE_IDLE”，才说明ipsec isakmp sa已经协商完成。

 

如果确认3G客户端与LNS上都已经成功协商完成了isakmp sa，则直接跳到“步骤4：检查IPSECSA是否已经协商成功”步骤排查。

如果确认3G客户端与LNS上无isakmp sa，或者isakmp sa的状态非“ IKE_IDLE”，请执行如下8个排查步骤：

（1）检查3G客户端ipsec感兴趣流（加密保护子网）配置是否正确

ipsec感兴趣流通过acl定义，并在crypto map中被调用，如下配置通过acl 100定义了源为1.1.1.0/24，目的地址为2.2.2.0/24的流量，并在crypto map ruijie中调用该acl，将该流量定义为ipsec的感兴趣流。

ip access-list extended 100

 10 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

crypto map ruijie 10 ipsec-isakmp

 set peer 172.18.10.10

 set transform-set ruijie

 match address 100

该步骤检查关键点：

·确认感兴趣流的流量定义是否正确：源为3G客户端本地内网网段、目的为需要访问的业务网段

·crypto map中调用的acl是否正确

·一般LNS上的ipsec为动态模式，无需检查感兴趣流配置。如果LNS上配置了静态模式的ipsec，也需检查针对每个3G客户端的感兴趣流。LNS上针对每个3G客户端的感兴趣流与3G客户端上的相反。如3G客户端的感兴趣流为A→B，那么LNS上针对该3G客户端配置的感兴趣流即为B→A。

（2）检查3G客户端crypto map是否应用在async接口上

·3G客户端的crypto map必须配置在async接口上，通过show crypto interface命令确认crypto map应用的接口：

Ruijie#show crypto interface

Async 1

 crypto map mymap

·LNS的crypto map必须配置在virtual-template接口上，通过show crypto interface命令确认crypto map应用的接口：

Ruijie#show crypto interface

Virtual-template 1

 crypto map mymap

（3）检查3G客户端ipsec peer是否指定为LNS的virtual-template接口地址

通过show run查看crypto map下配置的set peer x.x.x.x，peer地址是否正确。

·3G客户端的ipsec peer地址应为LNS的virtual-template接口地址

Ruijie#show run

....

crypto map mymap 10 ipsec-isakmp

 set peer 172.18.10.12//该地址为LNS的virtual-template接口地址

 set transform-set myset

 match address 100

·LNS一般使用动态模式的ipsec，无需配置peer地址。如果LNS使用静态模式的ipsec，则其ipsec peer地址应为各3G客户端async接口的地址。

（4）检查设备路由表中，关于ipsec感兴趣流的路由条目是否正确。

通过show ip route命令确认路由表中，感兴趣流目的地址的下一跳是否为3G拨号接口（async接口）。

（5）检查ipsec两端IKE协商的工作模式是否一致

ipsec工作模式有两种：主模式和积极模式（默认情况下是主模式） ，可以通过show run来查看是否进行了相关的模式配置：

crypto map mymap 10 ipsec-isakmp

  set exchange-mode aggressive //如果末配置该命令，则说明是采用默认的主模式进行协商。

（6）检查ipsec两端IKE策略配置是否匹配

路由器默认就存在一个IKE策略，并且可以手动再配置多个；在协商时ipsec两端必需存在至少1个相同的策略（两个策略相同指的是加密算法、hash算法、认证方式（预共享密码或数字证书）、DH组一致，但lifetime可以不一致）；可以通过show crypto policy命令来查看路由器上配置的IKE策略。

Ruijie#show crypto isakmp policy

Protection suite of priority 1

encryption algorithm:   DES - Data Encryption Standard (56 bit keys).

hash algorithm:Secure Hash Standard

authentication method:  Pre-Shared Key

Diffie-Hellman group:   #1 (768 bit)

lifetime:86400 seconds

Default protection suite

encryption algorithm:   DES - Data Encryption Standard (56 bit keys).

hash algorithm:Secure Hash Standard

authentication method:  Rsa-Sig

Diffie-Hellman group:   #1 (768 bit)

lifetime:86400 seconds

如果两边的IKE策略不一致，请通过如下命令在两边都增加一个相同的IKE策略：

Ruijie(config)#crypto isakmp policy x

Ruijie(isakmp-policy)#authentication xxx

Ruijie(isakmp-policy)#encryption xxx

Ruijie(isakmp-policy)#group x

Ruijie(isakmp-policy)#hash x

（7）检查ipsec两端配置的预共享密钥是否一致、或者数字证书是否匹配。

1）ipsec两端使用预共享密钥进行验证时

可以通过show run来查看所配置的预共享密钥，配置命令为：

crypto isakmp key 7 035122110c3706 address 172.18.10.10

此处需检查两点：

·address后的IP为ipsec对端地址，需配置正确

·两端密钥配置一致（由于show run中看到的密钥是经过加密的，并且相同字符串在每台设备上加密显示出来的都不一样，因此建议两边重新配置一次正确的密钥，以确保两边密钥一致）

2）ipsec两端使用数字证书进行验证时

通过show crypto pki certificates命令可以查看设备导入的数字证书信息。需确认以下点：

·通过show clock命令查看设备系统时间是否正确，如果时间不正确可通过clock set命令调整，或者配置NTP服务器。

Ruijie#clock set 13:30:00 11 8 2012  //调整设备系统时间为2012年11月8日13点30分0秒

Ruijie(config)#ntp server x.x.x.x//配置NTP服务器

·确保ipsec两端都已经导入了数字证书，如果末导入请重新导入正确的数字证书。

·确保ipsec两端的数字证书都在有效期内（即路由器系统时钟在数字证书的有效期时间内）

·确保ipsec两端CA根证书信息一致。输出中”% CA certificate info: “之后到”% Router certificate info: “之前的内容为CA根证书信息。ipsec两端CA根证书信息必须一致，否则ipsec peer无法验证通过。

show crypto pki certificates命令的详细输出如下：

Ruijie#show crypto pki certificates

% CA certificate info: 

Certificate:

Data:

Version: 3 (0x2)

Serial Number:

73:a0:79:06:ea:6d:14:96

Signature Algorithm: sha1WithRSAEncryption

Issuer: CN=Psbc3GCA, O=PSBC, C=CN

Validity

Not Before: Dec 28 09:56:49 2011 GMT//证书生效时间

Not After : Nov  8 08:24:04 2021 GMT//证书失效时间

Subject: CN=Guangdong3GCA, O=GuangdongPSBC, C=CN

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

RSA Public Key: (1024 bit)

Modulus (1024 bit):

     00:90:47:d2:af:a3:25:61:7f:19:34:9c:0b:74:b8:

7e:37:68:15:93:97:71:de:f1:ec:a2:d5:91:1a:be:

.......................................

（8）如果通过以上步骤排查，且确认配置方面没有问题，但触发ipsec感兴趣流后，show crypto isakmp sa还是无法看到有isakmp sa协商成功，则请搜集ipsec两端设备的如下信息联系4008-111000协助处理：

show version

show version slot

show slot

show run

show log

show ip route

show crypto isakmp sa

show crypto ipsec sa