避坑指南：华为GRE Over IPsec隧道建立失败常见原因与排查命令

华为GRE Over IPsec隧道故障排查实战手册

当你在深夜接到告警电话，发现总部与分支之间的GRE Over IPsec隧道突然中断，而明天早上还有关键业务需要通过这条链路传输时，这份手册将成为你的救命稻草。不同于基础配置教程，这里只聚焦一个问题：当隧道建立失败时，如何快速定位和解决问题。

1. 故障排查框架：从宏观到微观

面对隧道无法建立的紧急情况，盲目检查每个配置项只会浪费时间。我通常采用分层排查法，按照以下顺序逐步缩小问题范围：

1. 物理层检查：确认设备间物理连接正常，接口状态为UP
2. 网络层连通性：验证公网IP地址间的可达性
3. IKE SA协商状态：检查第一阶段密钥交换是否成功
4. IPsec SA建立状态：确认第二阶段安全关联是否正常
5. GRE隧道状态：验证隧道接口是否激活
6. 路由协议状态：检查OSPF等动态路由邻居关系

这种自底向上的方法能帮你快速定位故障发生的层级，避免在错误的方向上浪费时间。

2. IKE SA协商失败：第一阶段排错指南

当执行display ike sa命令后看不到预期的SA信息时，说明第一阶段协商已经失败。以下是常见原因及对应的排查命令：

2.1 预共享密钥不匹配

这是最常见的问题之一，两边设备配置的密钥必须完全一致，包括大小写和特殊字符。

# 检查本地配置的预共享密钥 display current-configuration | include pre-shared-key

典型症状：IKE日志中会出现"AUTHENTICATION_FAILED"错误。建议两边设备同时检查密钥配置。

2.2 对端地址配置错误

IKE对等体配置中的remote-address必须指向真实的对方公网IP。

# 查看IKE对等体配置 display current-configuration | section ike peer

排查技巧：使用ping命令先验证对端公网IP的可达性。如果ping不通，需要先解决基础网络问题。

2.3 加密算法不兼容

两端的IKE提议必须使用相同的加密、认证算法和DH组。

# 查看IKE提议配置 display ike proposal

推荐配置：现代网络建议使用更安全的算法组合，例如：

• 加密算法：aes-256
• 认证算法：sha2-256
• DH组：group14或更高

3. IPsec SA建立失败：第二阶段关键检查点

当IKE SA建立成功但IPsec SA无法建立时，问题通常出在第二阶段的配置上。使用display ipsec sa命令确认SA状态。

3.1 ACL感兴趣流不匹配

两端的ACL必须形成镜像关系，定义哪些流量需要被保护。

# 检查ACL配置 display acl 3000

常见错误：

• 源目地址写反
• 通配符掩码配置错误
• 忘记应用最新修改的ACL

3.2 安全提议参数不一致

IPsec提议中的封装模式、加密算法等必须两端匹配。

# 查看IPsec提议配置 display ipsec proposal

特别注意：封装模式（tunnel/transport）必须一致。GRE Over IPsec通常使用tunnel模式。

3.3 安全策略应用问题

确认安全策略正确应用在出站接口上。

# 检查接口应用的安全策略 display ipsec policy brief

验证方法：尝试从接口上删除并重新应用策略，有时配置需要重新触发才能生效。

4. GRE隧道故障：当IPsec通了但GRE仍不可用

即使IPsec SA建立成功，GRE隧道仍可能因为以下原因无法工作：

4.1 隧道源目地址错误

# 检查隧道接口配置 display interface Tunnel 0/0/1

关键检查点：

• source地址应为本地公网IP
• destination地址应为对端公网IP
• 确保没有配置NAT导致地址转换

4.2 路由问题

GRE隧道需要路由正确才能传递流量。

# 检查路由表 display ip routing-table | include 13.13.13

典型症状：能ping通隧道接口IP但无法通过隧道传输业务流量，可能是缺少回程路由。

4.3 MTU不匹配

# 检查接口MTU设置 display interface Tunnel 0/0/1 | include MTU

优化建议：由于IPsec会增加报文头大小，建议将隧道接口MTU设置为1400左右，并开启TCP MSS调整。

5. OSPF邻居无法建立：隧道之上的问题

当GRE和IPsec都正常工作但OSPF邻居关系无法建立时，检查以下方面：

5.1 接口网络类型配置

# 检查OSPF接口类型 display ospf interface Tunnel 0/0/1

推荐配置：GRE隧道接口通常配置为ospf network-type p2p，避免DR/BDR选举问题。

5.2 组播流量问题

确认IPsec没有阻止OSPF的组播流量。

# 检查OSPF Hello包是否被加密 display ipsec statistics

排查技巧：在隧道两端抓包，确认能看到OSPF Hello报文。

5.3 区域配置不一致

# 验证OSPF区域配置 display ospf peer

常见错误：一端配置在area 0，另一端配置在非骨干区域，导致邻居无法建立。

6. 高级排错工具与技巧

当常规检查无法定位问题时，这些高级工具可能帮到你：

6.1 调试日志开启

# 开启IKE调试信息 debugging ike all terminal monitor terminal debugging

注意：调试日志会占用大量资源，只在排错时临时开启，完成后立即关闭。

6.2 流量触发测试

有时SA需要流量触发才会建立：

# 生成测试流量 ping -a 13.13.13.1 13.13.13.3

6.3 时间同步检查

# 验证设备时间 display clock

重要提示：IKE/IPsec对时间敏感，两端设备时间差不应超过几分钟，否则可能导致SA无法建立。

在实际运维中，我遇到过最棘手的问题是NAT设备导致的IPsec失效。那次故障现象是隧道间歇性中断，最终发现是中间网络设备对IPsec报文进行了不恰当的NAT处理。解决方案是在两端启用NAT穿越功能：

ike peer 1 nat traversal