L2TP Over IPsec建立成功但是ACL没有匹配

发布时间:  2013-09-12 浏览次数:  298 下载次数:  8
问题描述
Networking diagram for L2TP over IPSec



当VPN Client成功 拨号至LNS FW时,通过displays acl 3000 发现没有匹配。
<LNS> display acl 3000
Rule 5 permit udp source-port eq 1701   (0 times matched)
告警信息
处理过程
1、 查看IPsec和L2TP VPN状态。
<LNS> display l2tp tunnel
Total tunnel = 1
LocalTID RemoteTID RemoteAddress    Port   Sessions RemoteName
1        1         20.1.1.10        65480   1       


<LNS> display l2tp session
Total session = 1
LocalSID  RemoteSID  LocalTID
1         1          1

<LNS> display ike sa
current ike sa number: 2                                                       
  -----------------------------------------------------------------------------  
  conn-id    peer                    flag          phase vpn                     
  -----------------------------------------------------------------------------  
  2          20.1.1.10:2048          RD            v1:2  public                  
  1          20.1.1.10:2048          RD            v1:1  public            

  flag meaning
  RD--READY    ST--STAYALIVE  RL--REPLACED      FD--FADING
  TO--TIMEOUT  TD--DELETING   NEG--NEGOTIATING  D--DPD

<LNS> display ipsec sa brief

current ipsec sa number: 2
current ipsec tunnel number: 1
--------------------------------------------------------------
Src Address     Dst Address     SPI         Protocol  Algorithm
-------------------------------------------------------------------
20.1.1.10       10.2.1.3        142427840   ESP       E:DES;A:HMAC-MD5-96;
10.2.1.3        20.1.1.10       52885424    ESP       E:DES;A:HMAC-MD5-96;

2、 查看VPN client是否拨号成功。在VPN client PC上输入IPconfig命令,发现已经获得L2TP地址池的地址。
C:\Documents and Settings\Administrator> ipconfig
Windows IP Configuration
Ethernet adapter {1D873B6A-BAC3-4A99-A567-9F809EA3CE69}:

        Connection-specific DNS Suffix  . :
        IP Address. . . . . . . . . . . . : 10.3.1.2
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 10.3.1.1

3、配置和状态都是正常,经过了解感兴趣流只会在,触发报文时候匹配。由于LNS是被动触发,Security Acl不会匹配,只是在IPsec建立的时候使用,后续报文IPsec直接封装,不需要匹配ACl。
根因
1、 IPsec 和L2TP建立问题。
2、 VPN Client配置问题。
3、 其他问题。
建议与总结
在L2TP Over IPsec场景下, Security ACL不会匹配是正常的,因为只有主动触发的IPsec始发报文才会匹配ACL。

END