尝试 ping 时收到以下错误消息。
2 月 12 日 17:51:11.383 IST:IKEv2-INTERNAL:正在处理 pak 队列中的一项
2 月 12 日 17:51:11.384 IST:IKEv2-INTERNAL:无法找到匹配的 SA 2 月 12 日 17:51:11.386 IST:IKEv2-ERROR:无法找到匹配的 SA:检测到无效的 IKE SPI 2 月 12 日 17:51:11.388 IST:IKEv2-ERROR:: 提供的参数不正确 2 月 12 日 17:51:13.048 IST:IKEv2-INTERNAL:从调度程序获得数据包
答案1
拓扑是 2 个无线控制器通过交换机连接,每个控制器有 2 个 VLAN,比如说 VLAN 96 和 VLAN 97。
控制器 1 的 SVI:
9.2.96.51 和 9.2.97.12
控制器 2 的 SVI:
9.2.96.12 和 9.2.97.51
我正在使用以下命令映射 ipsec 加密图:
9.2.96.51(控制器 1)与 9.2.97.51(控制器 2)
现在,当尝试建立 IKEV2 隧道时,开始从控制器 1 ping 到控制器 2,但数据包被丢弃并且隧道未形成。
现在发生的情况是,数据包不是转到另一个 VLAN,而是转到同一个 VLAN,因为隧道未形成。
意味着数据包应该从 vlan 96 传输到 vlan 97,但是由于两个 vlan 都存在,所以从控制器 1 的 VLAN 96 执行 ping 操作会转到控制器 2 的 VLAn 96,而不是 VLAN 97。
因此,只需关闭其他 VLAN,然后尝试 ping 即可。