Network Manage Tech Experience

Welcome to my tech home !!!
posts - 32, comments - 35, trackbacks - 0, articles - 0
  IT博客 :: 首页 :: 新随笔 :: 联系 :: 聚合  :: 管理

Nokia&CP之间的VPN domain问题

Posted on 2008-03-19 23:15 chris_lee 阅读(687) 评论(0)  编辑 收藏 引用 所属分类: Nokia&CP技术篇
Google 标签: , ,

今天突然接到VPN对方说测试数据过不来了,于是登录到CP上,查看日志,确实他们那边过来的数据报都drop了,日志信息显示:Wrong peer gateway for decrypted packet (VPN Error code 01)。
根据Wrong peer gateway进行Google,查的的结果为:可能是vpn domain引起的,查了许久没有找到原因。于是我查看日志看到刚好从2008-3-10 17:44开始出现丢包,这个时间好像我刚好在此CP上面新建了一个vpn的domain为net_48_28(48/255.255.255.240)的domain,然而匹配此vpn的目的地为net_48_31(48/255.255.255.254)。这样新建的vpndomain中48为网络号,而后面的策略的目的地又为48,所以导致报这个错误Wrong peer gateway。删除这个net_48_28然后重新install这个vpn的rule就好了。

知识总结Nokia&CP建立VPN隧道需要确定VPN Domain,即给需要加密传输的源或者目的地址分别规整到一个地址域内,可以是一个网段或几个地址的集合(集合成group)。当VPN Domain为一个网段时候,其网络地址号和广播号不能用作主机地址来做数据传输(上次分析的可能有错误了,下次做实验证明之)。

追加之:今天做vpn同样遇到了报Wrong peer gateway for decrypted packet (VPN Error code 01)这个错误。经过仔细推敲分析,应该得出结论如下:
各个spokes的vpn domain不能一致。

故障查找经验总结
1,先想办法恢复故障;
2,查看故障显示日志;
3,查找故障开始发生时刻点,并想此时是否做过相关变更;
4,根据经验排查。

只有注册用户登录后才能发表评论。