IPsec 感兴趣流不匹配
星期一, 五月 10th, 2010IPSec VPN 实验时发现如下报错:
map_db_find_best did not find matching map
IPSEC(validate_transform_proposal): no IPSEC cryptomap exists for local addres X.X.X.X
检查配置并且多次尝试发现问题出在 ACL 上面,两台设备定义感兴趣流的 ACL 不是完全的镜像关系,而是包含关系,即 ACL A 的范围大于 ACL B 定义的范围,由 A 侧发起的 IPSec VPN 协商是不能成功的,报错信息如上。但是由 B 侧发起的流量能成功协商 IPSec VPN 并且对数据加密。
