由于sub地址无法触发ike peer导致建立IPSec VPN不成功

发布时间:  2014-09-20 浏览次数:  203 下载次数:  0
问题描述
在两台NGFW之间建立IPSec隧道。组网如图41-1所示。在修改参数之前,隧道能够建立成功。当在NGFW_B的公网接口增加了sub地址并修改某些配置后,发现隧道建立不成功。经检查,两端IPSec和IKE参数配置均正确。路由、接口、安全策略等配置也正确。
图41-1 IPSec VPN组网图

查看NGFW_B隧道接口配置的sub地址。
[NGFW_B] interface GigabitEthernet1/0/1
[NGFW_B-GigabitEthernet1/0/1] display this

interface GigabitEthernet1/0/1   
ip address 1.1.1.2 255.255.255.0
ip address 1.1.1.3 255.255.255.0 sub
ipsec policy vpnlink auto-neg

检查NGFW_B的local-address配置,发现配置了local-address命令,即发起协商使用sub IP地址。
NGFW_B:
[NGFW_B] ipsec policy pob 1 isakmp
[NGFW_B-ipsec-policy-isakmp-pob-1] display this 

ipsec policy pob 1 isakmp    
security acl 3000                       
ike-peer ike_b                          
proposal prop66101357105                
local-address 1.1.1.3
处理过程
步骤 1 检查NGFW_A的remote address配置。
[NGFW_A] ike peer bfbg_dl 
[NGFW_A-ike-peer-bfbg_dl] display this
#   
ike peer bfbg_dl 
exchange-mode aggressive
Pre-shared key: %$%$jr"z-%'Iw-5CvJ)o7Tu7"#wn%$%$ 
ike-proposal 4
remote-address 1.1.1.2
nat traversal

协商IPSec隧道时,NGFW_B是用sub地址去发起IKE协商的。而NGFW_A的配置中,remote-address里指的不是NGFW_B接口的sub地址,导致隧道建立不成功。
步骤 2 修改NGFW_A的remote-address地址。
[NGFW_A] ike peer bfbg_dl     
[NGFW_A-ike-peer-bfbg_dl] remote-address 1.1.1.3 
根因
配置了sub地址,且使用sub地址触发了IPSec协商,而两端指定的地址不对应。

END