多出口IPsec隧道建立不成功

发布时间:  2013-06-25 浏览次数:  225 下载次数:  0
问题描述



如题:用户总部和分支之间通过建立site-to-site IPsecVPN 进行通信,现用户在总部端添加一条新的公网出口(两条出口对应不同运营商),在防火墙上添加了一条到新出口的等价默认路由,总部和分支之间出现无法正常访问,登陆防火墙查看IPsec状态,发现IKE SA协商失败
告警信息
处理过程
处理过程:为了验证是因为路由问题所导致故障,登陆用户防火墙设备,根据数据包的转发机制,添加一条到IPsec隧道对端私网的静态路由,保证IPsec的感兴趣流量从指定的接口转发
Ip route-static 192.168.2.0 255.255.255.0 ethernet0/0/0
在总部的内网主机试着Ping分支,触发ipsec隧道建立,结果依然不通,查看IPsec状态,IKE第一阶段协商仍然失败,再次分析ipsec隧道封装后的报文和IKE第一阶段协商报文的转发流程,其IP报文的目的地址均是隧道对端设备的公网地址2.2.2.2/24,鉴于第一阶段都未能协商成功,怀疑到目的地址2.2.2.2的报文全部通过线路2被转发,导致协商失败。因此再在防火墙上添加一条到2.2.2.2的主机路由

Ip route-static 2.2.2.2 255.255.255.255 ethernet0/0/0

再次在总部内网主机Ping分支,能够成功Ping通,再次登录防火墙查看IPsec状态,隧道已重新建立,恢复正常,故障解决
根因
用户在没有添加到新出口的等价默认路由前,IPsec状态参数正常,总部与分支之间通信正常,说明IPsec配置,防火墙配置基本没有问题。在添加第二条等价默认路由后,出现IPsec隧道建立不成功,IKE SA协商失败,由此可以推测可能是路由问题导致IPsec协商过程数据报文交互并没有从防火墙正确的出口转发导致
建议与总结
在多出口,有多条等价默认路由的情况下,建IPsec隧道,由于不能保证流量的转发接口和启用ipsec的接口一致,因此可以为每一条IPsec隧道添加2条静态路由的方式解决,第一条即到隧道远端IP地址的主机路由,第二条到远端私网的路由,通过指定下一跳保证流量的准确转发

END