服务经过多条ipsec链路出现不稳定问题

最新推荐文章于 2025-09-26 13:19:57 发布

原创最新推荐文章于 2025-09-26 13:19:57 发布 · 2.4k 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#丢包 #服务时断时续 #无法发送文件

网络专栏收录该内容

1 篇文章

订阅专栏

本文探讨了服务中出现的丢包、大文件传输困难与不稳定问题，通过排查发现可能由多条IPsec导致的报文过长及分片重组错误引起。在接口模式下使用clearipdf命令关闭报文分片，有效解决了问题。

最近发现，有些服务经常会出现服务丢包、无法传送大文件、服务不稳定等问题。基础网络很稳定，没有发现问题。服务本身在小内网测试也很稳定。经过排查，怀疑可能是中间链路经过了多条IPsec导致报文过长，拆分报文后组合过程出了问题

解决方法，IPsec设备在接口模式下：clear ip df 关闭报文分片

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

complay_ly

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【BCT_RFC 3927】IPv4 链路本地地址的动态配置

天天的博客

02-21

1127

随着 Internet 协议越来越受欢迎，它成为能够使用熟悉的 IP 工具（如 FTP）越来越有价值不仅用于全球通信，还用于本地通信出色地。例如，两个拥有支持 IEEE 的笔记本电脑的人802.11 无线 LAN [802.11] 可以满足并希望交换文件。这些人希望能够使用IP应用程序无需手动配置的不便静态 IP 地址或设置 DHCP 服务器

针对防火墙IPSec业务不通或业务丢包问题，防火墙如何做流量统计、远程抓包、报文示踪

ICT系统集成实战派博主｜深耕数通/云计算/网络安全/系统集成领域，聚焦华为/思科/华三/锐捷设备配置、项目排障与落地实战。

08-22

731

针对防火墙IPSec业务不通或业务丢包问题，防火墙如何做流量统计、远程抓包、报文示踪。

参与评论您还未登录，请先登录后发表或查看评论

两台华为防火墙IPsec连接不稳定原因之一的解决方式

记录博客

12-30

4817

ipsec匹配成功，但是网络访问不稳定，会时不时的断开。

Ipsec ikev1的坑

willwillwang的博客

12-30

499

当时建完了是很稳定的，跑了大约几个月的时间，后来因为一次变更变得不稳定了。

内核IPSec丢包问题

2401_89221704的博客

11-27

874

不知道什么情况，最近支持的客户越来越多了。前人欠的债，后人帮忙还。最近有个客户使用了公司的产品，通过strongSwan配置了IPSec通路，使用了内核的xfrm框架实现数据包的加解密。为了提升吞吐量，需要使用到内置密码引擎功能。然后在使用iperf进行流量测试时，发现存在丢包的问题。反馈到了技术支持，最终落到了我的头上。这个驱动是历史产物了，也算是公司第一代的产品。一直也没有什么客户在用，也就一直没有收到市场的问题，给人一种产品很好的错觉。领导也经常引以为傲哈。但实际情况是我已经填了不下10个坑。

IPSec VPN自动断开的问题

pocher的博客

12-18

5664

需要检查下DPD检测有没有开启，如果没有开启超过链接生存周期后就会自动断开，DPD检测相当于Keepalive机制。

JUNIPER搭建站点到站点IPSec*** 丢包问题解决方案

weixin_34405332的博客

08-30

1182

背景：公司办公区到租赁机房之间搭建的是一条IPSEC×××，分别是在两边的防火墙设备上搭建的，办公区这边使用的是飞塔防火墙，机房防火墙为juniper防火墙，搭建过程可以参考之前的帖子。之前搭建完成后测试没有问题，一直使用到现在，但昨天晚上公司同事突然说，方法机房网络慢，ping包存在丢包的情况，丢包率大概在1%-2%之间，并且没有规律可言。解决办法：1、重启了公司这边的飞塔...

华为交换机链路备份解决方案：提升网络稳定性的高效方法

随着网络架构的日益复杂，华为交换机的链路备份功能变得至关重要，它确保了网络的高可用性和稳定性。本文旨在探讨链路备份的重要性、应用场景、基本理论、配置实践、高级功能、优化以及故障排除与维护。文章首先分析...

ROS软路由稳定性的秘密：负载均衡与链路聚合技巧

本文全面探讨了ROS软路由的稳定性和性能优化，特别着重于负载均衡与链路聚合的理论与实践。首先，文章对负载均衡的定义、类型和应用场景进行了基础理论介绍，随后深入分析了ROS环境下负载均衡的配置方法和高级策略。...

37、网络层技术：IPv6、IPsec与路由算法解析

最新发布

cheese的博客

09-26

本文深入探讨了网络层核心技术，包括IPv6的部署现状与挑战、IPsec提供的网络层安全机制及其在企业中的应用，以及链路状态和距离向量等路由算法的原理、分类与实际应用场景。文章分析了各类技术面临的路由环路、振荡和可扩展性等问题，并展望了软件定义网络（SDN）与人工智能技术对未来路由算法发展的推动作用，全面呈现了网络层技术的演进方向与发展趋势。

链路数据透传加密网关：构建隐形的数据安全防线

SCIS588的博客

03-19

2630

本方案为各机构访问的数据系统在的网络与通信安全层面供符合密码测评要求及等保2.0三级要求的安全网关产品，采用链路透传加密网关隧道透明无感知加密、支持国密SM1/SM2/SM3/SM4算法，通过在各节点边界处部署链路透传加密网关，用户各节点在使用会议系统、OA系统、电子政务等系统时进行无感知加密，帮助用户实现多支点网络的安全、高速互联，可以最大限度保障业务互联的数据的机密性、完整性，以及设备之间的身份不可否认性。链路数据透传加密安全网关以其“透明无感、加密可靠”的特性，填补了传统安全防护在链路层的空白。

一文读懂华为防火墙不同类型 VPN 常见问题总结，从零基础到精通，收藏这篇就够了！

Javachichi的博客

04-23

1617

远程办公？跨国协作？VPN 确实是刚需。但一提华为防火墙 VPN，各种幺蛾子问题就来了。阿祥？谁啊？今天咱就来聊聊华为防火墙这几款 VPN，常见的坑，以及怎么优雅地爬出来！别指望一劳永逸，都是血泪教训！

华为USG6380与安达通包过滤防火墙建立ipsec隧道后丢包

weixin_42645631的博客

07-29

1844

外网皆直连防火墙上隧道已经处于活动状态：安达通防火墙侧局域网：172.16.0.0 255.255.0.0 华为USG6380侧局域网：192.168.10.0 255.255.255.0 从安达通侧pingUSG侧则出现丢包：从USG侧发20个ICMP包，在安达通wan口和lan口分别抓包(不是同一次)： wan: lan: 安达通lan侧只有9条回复，且在...

linux ipsec 数据包处理流程

与狼共舞的专栏

10-12

5132

数据包的处理过程，发送方的处理过程:(1) 源主机TCP层通过调用ip_output()函数，调用IP层，令其发送一个数据包给路由器;(2) 路由器针对目的主机的数据包，查询策略引擎，根据安全策略强制加上AH或ESP头;(3) IKE处理，对没有SA的安全策略建立新的SA;(4) SA处理，增加序列号字段;(5) 通道模式处理，通常VPN用的是通道模式，因此加上一个额外的IP头;(6) 路由器发送这个安全的数据包。接收方的处理过程:(1) 另一端的路由器收到这个包，剥去额外的IP头，并利用数据包的AH或

防火墙——IPSec高可靠性（IPSec5）

m0_49864110的博客

05-18

1577

主IPSec通道链路固定IP接入，备IPSec通道链路采用固定或拨号接入（需要建立多个IPSec）将IPSec策略应用到Tunnel接口中，然后多个物理接口做备份（只需要建立一个IPSec）IPSec高可用-主备链路_vpp ipsec主备_静下心来敲木鱼的博客-优快云博客。IPSec高可用——设备冗余实验配置_静下心来敲木鱼的博客-优快云博客。冗余的两台FW做双机热备，在物理口上引用IPSec安全策略（正常配置）IPSec高可用-隧道化链路备份_静下心来敲木鱼的博客-优快云博客。

（故障案例）来自国外的IPSEC攻击导致爱快路由器带宽被占用满

网络之路Blog（其他平台同名）

08-14

707

对于这次故障，起始算是爱快上面的一个小BUG，正常情况下，如果没有配置IPSEC的情况下，那么对应的IPSEC响应机制应该是不会被启动的，而爱快的没配置IPSEC的配置，但是还是响应了对方的报文，导致了这种情况，另外抓包是个好东西，大部分设备都带这样的功能，要多多利用，我们学习知识点就是学的协议本身，了解了，出现故障才能好好的分析，所以大家在学习的时候一定要从技术本身去了解它，不单单是是学会配置就行了，配置任何人都会，但难就在出现问题如何解决了。（如果群满了，可以公众号后台回复‘加群’获取最新群号）

Fortigate疑难杂症之 - IPSec传输大文件中断/其他异常中断

RaySun的技术Blog

08-03

2136

将IPSec两端的防火墙设备的IKE端口更改为非默认端口将IPSec两端的协商模式由主动模式改为野蛮模式。

锐捷网络—VPN功能—IPSec VPN 常见问题和故障

君逍遥o

09-13

4526

IPSec （IP Security ）是一种由IETF设计的端到端的确保IP层通信安全的机制。 IPSec协议可以为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，保证数据的完整性和机密性，有效抵御网络攻击。 IPSec不是一个单独的协议，而是一组协议，IPSec协议的定义文件包括了12个RFC文件和几十个Internet草案，已经成为工业标准的网络安全协议。

山石与飞塔建立ipsec时候在Phase2丢包处理

weixin_41903258的博客

03-20

708

注意：IPSec 隧道建立后如果 1800 秒的时间内持续有数据传输，阶段 2 将到期执行密钥协商过程；如果 1800 秒的时间内没有数据传输，阶段 2 将停止密钥协商过程，同时 IPSec 隧道也会 down。keylifekbsPhase2流量的关键生命周期字节数(5120 - 4294967295)。飞塔的keylifeseconds 默认为43200，keylifekbs默认为5120。

双机热备IPSec

04-16

### 双机热备环境下的IPSec配置与实现在双机热备环境中，IPSec 的配置需要考虑主设备 (FW1) 和备用设备 (FW2) 之间的同步以及 IP 地址分配的一致性。以下是关于如何在双机热备环境下实现 IPSec 的详细说明。 #### 主要技术要点为了确保双机热备环境中的 IPSec 正常工作，需完成以下几个方面的配置： 1. **VRRP 组的设置** 上行链路通常涉及多个 VRRP 组来支持不同的网络服务提供商（如电信和移动）。每组 VRRP 应当具有唯一的 VRID 并绑定相应的虚拟 IP 地址[^1]。这些虚拟 IP 将作为 IPSec 隧道的外部端点地址。 2. **HRP 心跳线配置** HRP（High Reliability Protocol）用于保持主备防火墙的状态一致性。通过两条物理线路连接两台防火墙以增强冗余能力，并将其划入专门的安全区域（例如 `HRP`），从而减少潜在干扰[^1]。 3. **IKE 协商参数一致化** 在 FW1 和 FW2 中定义相同的 IKE 策略，包括加密算法、哈希函数、认证方法及 Diffie-Hellman 组等。这一步骤对于建立稳定的 SA 至关重要。 4. **隧道接口创建** 创建逻辑上的 GRE 或者其他类型的隧道接口，在此之上加载 IPSec 安全策略。假设我们使用的是标准 IPv4 路由，则命令如下所示： ```shell # interface Tunnel0/0/0 ip address 172.16.1.1 255.255.255.0 tunnel-protocol gre source 192.168.1.254 destination 192.168.2.254 ``` 5. **应用 ACL 控制流量匹配规则** 使用访问控制列表指定哪些数据包应该被保护并通过 IPSec 加密传输。下面是一个简单的例子展示如何允许特定子网间的通信： ```shell acl number 3000 rule permit ip source 10.0.0.0 0.0.0.255 destination 20.0.0.0 0.0.0.255 ``` 6. **启用 NAT穿越功能** 如果存在 NAT 设备位于中间路径上，则可能需要开启 NAT-T 功能以便于穿透此类障碍物。可以通过以下指令激活该特性： ```shell ike peer remote-site enable nat-traversal ``` 7. **验证并测试连通性** 最后一步是对整个架构进行全面的功能性和稳定性检验。利用工具发送探测报文确认两端能否正常交换受保护的信息流。 ```python def test_ipsec_tunnel(): import subprocess result = subprocess.run(['ping', '-c', '4', '172.16.1.2'], capture_output=True, text=True) if "Destination Host Unreachable" not in result.stderr and result.returncode == 0: print("The IPSec tunnel is up and running.") else: print("There seems to be an issue with the IPSec connection.") test_ipsec_tunnel() ```