Posted on 2008-03-19 23:15
chris_lee 阅读(684)
评论(0) 编辑 收藏 引用 所属分类:
Nokia&CP技术篇
今天突然接到VPN对方说测试数据过不来了,于是登录到CP上,查看日志,确实他们那边过来的数据报都drop了,日志信息显示:Wrong peer gateway for decrypted packet (VPN Error code 01)。
根据Wrong peer gateway进行Google,查的的结果为:可能是vpn domain引起的,查了许久没有找到原因。于是我查看日志看到刚好从2008-3-10 17:44开始出现丢包,这个时间好像我刚好在此CP上面新建了一个vpn的domain为net_48_28(48/255.255.255.240)的domain,然而匹配此vpn的目的地为net_48_31(48/255.255.255.254)。这样新建的vpndomain中48为网络号,而后面的策略的目的地又为48,所以导致报这个错误Wrong peer gateway。删除这个net_48_28然后重新install这个vpn的rule就好了。
知识总结:Nokia&CP建立VPN隧道需要确定VPN Domain,即给需要加密传输的源或者目的地址分别规整到一个地址域内,可以是一个网段或几个地址的集合(集合成group)。当VPN Domain为一个网段时候,其网络地址号和广播号不能用作主机地址来做数据传输(上次分析的可能有错误了,下次做实验证明之)。
追加之:今天做vpn同样遇到了报Wrong peer gateway for decrypted packet (VPN Error code 01)这个错误。经过仔细推敲分析,应该得出结论如下:
各个spokes的vpn domain不能一致。
故障查找经验总结:
1,先想办法恢复故障;
2,查看故障显示日志;
3,查找故障开始发生时刻点,并想此时是否做过相关变更;
4,根据经验排查。