一个ipsec业务不通问题

发布时间:  2014-09-12 浏览次数:  299 下载次数:  0
问题描述
一台usg2100和一台usg5100建立ipsec隧道,usg5100是中心,隧道建立成功业务不通。

  11.101.2.1/24      usg2100  2.2.2.2/24   ---------------- 1.1.1.1/24  usg5100   11.1.1.1/24   
    内网接口地址                             公网接口地址                   公网接口地址                       内网接口地址  
告警信息
无。
处理过程
在usg2100上用11.101.2.1ping11.1.1.1,不通。
查看会话没有做nat,于是到总部usg5100上查看会话。


<USG5100>display  firewall  session table  verbose  destination inside   11.101.2.1
   Current Total Sessions : 1
  icmp  VPN:public --> public
  Zone: untrust--> local  TTL: 00:00:20  Left: 00:00:19
  Interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 00-00-00-00-00-00
  <--packets:3 bytes:252   -->packets:3 bytes:252
  11.101.2.1:43986-->11.1.1.1:2048

usg5100上收到报文并回应了。

在usg2100上查看esp报文


[USG2100]display firewall session table verbose source global  1.1.1.1
Current Total Sessions : 1
  esp  VPN:public --> public
  Zone: dx--> trust  TTL: 00:10:00  Left: 00:09:59
  Interface: Vlanif1  NextHop: 11.101.2.200  MAC: 6c-ae-8b-63-95-9a
  <--packets:0 bytes:0   -->packets:272 bytes:29368
  1.1.1.1:0-->2.2.2.2.:0[11.101.2.200:0]

发现有映射关系。
询问客户得知之前把usg2100公网地址2.2.2.2完整映射给内网一台服务器。
清空此条esp会话。
业务正常。
根因
1.感兴趣数据流nat问题。
2..数据流从总部回来异常。
3.esp报文传输问题。
建议与总结
ipsec问题注意排查步骤。

END