分支IPSEC两个阶段能够建立但总部无两个阶段信息建立不成功

发布时间:  2012-07-18 浏览次数:  77 下载次数:  0
问题描述

分支在nat设备后面通过nat设备映射,与总部建立ipsec vpn,但是当分支访问总部时,分支端ike两个阶段建立正常,但是总部无任何隧道信息。

分支配置:

#
ike proposal 1
#
ike peer 1
 pre-shared-key 123
 undo version 2
 remote-address 192.168.34.3
 nat traversal
#
ipsec proposal 1
#
ipsec policy map1 10 isakmp
 security acl 3001
 ike-peer 1
 proposal 1

隧道信息:

disp ike sa
14:22:23  2012/05/11
current ike sa number: 2
  ---------------------------------------------------------------------
  连接号        对端地址        VPN   标志        阶段   解释域
  ------------------------------------------------------------
   0x45d         192.168.34.3:1194       0     RD          v2:2    IPSEC
   0x45c         192.168.34.3:1194       0     RD          v2:1    IPSEC

总部配置:

#
ike peer longhuajugllbzx                 
 exchange-mode aggressive
 pre-shared-key 123
 undo version 2
 remote-address 192.168.121.144
 nat traversal#
ipsec proposal 1
#
ipsec policy 10 1 isakmp
 security acl 3000
 ike-peer t1
 proposal 1
#
ipsec policy 10 21 isakmp
 security acl 3021
 ike-peer longhuajugllbzx
 proposal 1

总部隧道:

disp ike sa
15:50:43  2012/05/11
current ike sa number: 0

告警信息
处理过程

1、检查中间链路,网络正常。

2、检查两端acl,均有命中。

3、检查配置,配置了nat穿越,在ike peer配置中尝试添加命令:

remote-address authentication-address 10.229.148.252

其中authentication-address 后面的地址为nat设备的出口地址,再次测试ipsec建立情况。

 

[jtysw_SRG20_ZFWW]disp ike sa
15:45:39  2012/05/11
current ike sa number: 2
  ---------------------------------------------------------------------
  connection-id     peer                vpn    flag        phase    doi
  ---------------------------------------------------------------------

 0xba525         192.168.121.144:1194    0     RD          v2:2    IPSEC
 0xba524         192.168.121.144:1194    0     RD          v2:1    IPSEC

总部有了分支的隧道信息,两端建立成功。

根因

1、配置问题导致。

2、中间链路问题

3、其他

建议与总结
如有nat穿越场景,建议将remote-address authentication-address配置上

END