IPSEC vpn对接失败

发布时间:  2014-08-18 浏览次数:  397 下载次数:  0
问题描述
V300R001C20SPC200、USG9520做为总部中心,同时与多地市建立一对多的ipsec vpn业务、其中两个地市,一个地市无法建立ike peer,一个地市建立了ike peer,总部可以ping通分部,但是分部无法ping通总部。
告警信息
无法建立ike邻居

可以正常建立ike peer,总部可以ping通分部,分部无法ping通总部

在总部防火墙usg9520上带接口源ping对端内外接口

在对端内外接口带源ping总部设备

处理过程
针对感兴趣数据流及总部防火墙的公网地址进行策略,不做转换,从而使得数据流可以命中acl走ipsec隧道到达总部,从而互通。
nat-policy
rule name nopat
  egress-interface GigabitEthernet2/0/X
  destination-address 124.X.X.X
  destination-address 172.X.X.X
  action no-nat
rule name  XX
  egress-interface GigabitEthernet2/0/X
  action nat easy-ip
根因
IKE第一阶段目的是建立一个保密和验证无误的通信信道(IKE SA),以及建立验证过的密钥。为双方的IKE通信提供机密性,消息完整性以及消息验证服务。经过查看双方协商参数配置都没有问题,可以ping通对端ipsec对接的外网接口,查看会话发现出现问题的两个分部都配置的NAT,在分部防火墙上查看会话,发现local到untrust的会话被做了NAT转换,从而导致无法命令感兴趣数据流导致无法建立ike peer,且建立后也可能对流量造成影响,导致业务故障。
建议与总结
1、在建立ipsec时候,遇到有NAT,需要注意配置好针对感兴趣数据流的处理,避免匹配NAT无法命中nat,导致业务不通。
2、排查时注意从链路连通性,协商参数及分析会话方面考虑。

END