双出口l2tp over ipsec拨号不成功

发布时间:  2012-07-18 浏览次数:  168 下载次数:  0
问题描述
用户网络结构如下:

用户双出口,在GigabitEthernet0/0/0接口下应用了l2tp over ipsec拨号的ipsec策略。l2tp over ipsec拨号不能成功,只能到第三步“密钥交换协议协商完成”,但单独拨号l2tp 能够成功。        
告警信息
处理过程

1、检查用户l2tp over ipsec 配置,配置正确,没有问题。

2、在客户端测试,直接拨l2tp时拨号成功,l2tp over ipsec 时ike sa和ipsec sa都建立成功,客户端能拨号到第三步。测试时拨号客户端的公网地址是218.17.167.141,私网地址是192.168.253.4

[USG2200]dis ipsec sa brief

11:51:39  2012/03/27

current ipsec sa number: 4

current ipsec tunnel number: 2

--------------------------------------------------------------

Src Address     Dst Address     SPI        VPN  Protocol  Algorithm

-------------------------------------------------------------------

222.89.219.140  222.177.165.38  3195651139 0    ESP       E:3DES;A:HMAC-SHA1-96;

219.157.77.42   218.17.167.141  2829758394 0    ESP       E:DES;A:HMAC-MD5-96;

218.17.167.141  219.157.77.42   1609816794 0    ESP       E:DES;A:HMAC-MD5-96;

222.177.165.38  222.89.219.140  2989732539 0    ESP       E:3DES;A:HMAC-SHA1-96;

 

[USG2200]dis ipse sa
11:52:28  2012/03/27
===============================
Interface: GigabitEthernet0/0/0
    path MTU: 1500
===============================

  -----------------------------
  IPsec policy name: "policy11"
  sequence number: 1
  mode: template
  vpn: 0
  -----------------------------
    connection id: 3529
    rule number: 65535
    encapsulation mode: tunnel
    holding time: 0d 0h 0m 5s
    tunnel local : 219.157.77.42    tunnel remote: 218.17.167.141

    flow      source: 219.157.77.42/255.255.255.255 17/1701
    flow destination: 192.168.253.4/255.255.255.255 17/5279

[USG2200]dis ike sa

11:52:25  2012/03/27

current ike sa number: 5

  ---------------------------------------------------------------------

  connection-id  peer                    vpn   flag        phase   doi

  --------------------------------------------------------------------

   0xdc9         218.17.167.141:0802     0     RD          v1:2    IPSEC

   0xdc8         218.17.167.141:0802     0     RD          v1:1    IPSEC

   0xda6         222.177.165.38          0     RD|ST       v1:2    IPSEC

   0xd8c         222.177.165.38          0     RD|ST       v1:1    IPSEC

   0xd96         222.89.219.140:1594     0     RD          v1:1    IPSEC

3.检查公网地址 218.17.167.141和私网地址 192.168.253.4的路由,发现这两个地址的路由不是从应用L2TP OVER IPSEC拨号ipsec策略的接口 GigabitEthernet0/0/0 出去的 ,用户的默认路由是从 GigabitEthernet0/0/1接口出去。这样就造成l2tp的相关报文没有匹配对应的ipsec策略,造成拨号失败。

 

[USG2200]display ip routing-table  192.168.253.4

12:26:53  2012/03/27

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Routing Table : Public

Summary Count : 1

Destination/Mask    Proto  Pre  Cost     Flags NextHop         Interface

0.0.0.0/0   Static 60   0           D  222.89.219.129  GigabitEthernet0/0/1

[USG2200]display ip routing-table  218.17.167.141

12:27:03  2012/03/27

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Routing Table : Public

Summary Count : 1

Destination/Mask    Proto  Pre  Cost     Flags NextHop         Interface

0.0.0.0/0   Static 60   0           D  222.89.219.129  GigabitEthernet0/0/1

4.修改路由配置如下,再次拨号测试成功:

 

ip route-static 218.17.167.141 255.255.255.255 219.157.77.41

ip route-static  192.168.253.4  255.255.255.255  219.157.77.41

 

5、建议用户修改默认路由的配置,默认路由优先从GigabitEthernet0/0/0接口出去,L2TP OVER IPSEC拨号就正常了。

 

  

 

 

根因

可能是用户ipsec配置错误

建议与总结

END