組網及說明

Ipsec在H3C MSR 810 與飛塔防火墻之間建立，保護的是192.168.240.0/24到192.168.101.0/24之間私網數(shù)據流。

問題描述

在H3C MSR 810和Test Fortigate之間已經成功建立IPsec隧道。階段1（IKE V2）和階段2（IPsec）都已建立。MSR 810側私網地址192.168.240.1 ping 192.168.101.153，但只有一個icmp數(shù)據包能通。

過程分析

在H3C MSR 810和Test Fortigate的外網口抓包看。Test fortigate已經收到了MSR 810的加密ESP包，但是Test fortigate只回復了一個。 ping成功回一個包的情況有兩種：

1. 當重置H3C MSR路由器中的ike或ipsec會話時，Test Fortigate會回復一個數(shù)據包。

2. MSR下的終端持續(xù)ping，Test Fortigate會偶爾回復一個包。

進行如下測試：

1. 當在 MSR 810和Test Fortigate中使用IKE v1時，ping測試是沒有問題的，所有包都能通。

2. 使用兩個相同型號的H3C MSR設備相互連接，用IKE v2也沒有問題。

3. 測試了Fortigate的2個版本，都有這個問題： FortiOS v6.4.5 build1828（GA） /FortiOS v7.0.0 build 0066（最新版本）

在MSR上看Ipsec加密后的ping包ESP包已經發(fā)出，且已經到達了Fortigate側，對端外網口抓包看只回了一個，這個需要重點排查Fortigate側。

解決方法

默認情況下， Fortigate側中NPU Offload Function處于啟用狀態(tài)，在Fortigate側禁用NPU卸載功能時，故障恢復。