由于两个ACL规则冲突导致某个分支和总部之间内网不通

发布时间:  2014-09-20 浏览次数:  178 下载次数:  0
问题描述
如图47-1所示,多个分支设备和总部NGFW_A设备做IPSec对接,采用点到多点IPSec子策略方式建立VPN。多个分支都是固定IP地址,大多数分支到总部IPSec链路都可以正常通信,并且内网(分支到总部)之间可以互相通信,唯独其中一个分支的内网PC和总部内网之间不能正常通信。该分支使用NGFW_B作为网关。
图47-1 总部和多个分支建立IPSec策略组网图

处理过程
步骤 1 先清空分支NGFW_B的隧道(reset ipsec sa和reset ike sa),然后在总部内网ping NGFW_B内网,并通过display acl all命令查看ACL匹配次数来检查ACL匹配情况,发现配置的ACL 3019没有匹配。
并且使用display ike sa命令,SA数量为0,说明没有建立隧道。
步骤 2 通过另一分支设备与总部NGFW_A通信,发现不管是从总部发起,还是分支发起都能建立IPSec隧道并且ping通。
步骤 3 检查总部ACL的配置。
[NGFW_A] display current-configuration
ipsec policy 2 23 isakmp                             //能够与分支正常建立隧道的IPSec策略
security acl 3018
ike-peer beijing
proposal 1
#
ipsec policy 2 24 isakmp                             //不能与分支正常建立隧道的IPSec策略  
security acl 3019
ike-peer hefei
proposal 1

acl number 3018                                      //能够与分支正常建立隧道的IPSec策略引用的ACL
rule 10 permit ip source 10.10.0.0 0.0.255.255 destination  192.168.0.0 0.0.255.255
rule 20 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255
rule 100 deny ip

acl number 3019                                      //不能与分支正常建立隧道的IPSec策略引用的ACL
rule 1 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.145.0 0.0.0.255
rule 10 permit ip source 10.10.0.0 0.0.255.255 destination 192.168.145.0 0.0.0.255
rule 20 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.145.0 0.0.0.255
rule 100 deny ip


能够与分支正常建立隧道的ACL数据流范围(ACL 3018的rule 20)包括了不能与分支正常建立隧道的ACL里的数据流(ACL 3019的rule 1和rule 20),造成ACL规则冲突。
步骤 4 修改总部ACL为具体的网段。
[NGFW_A] display current-configuration
acl number 3018                                      
rule 10 permit ip source 10.10.0.0 0.0.255.255 destination 192.168.5.0 0.0.0.255
rule 20 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.5.0 0.0.0.255
rule 100 deny ip

acl number 3019                                      
rule 1 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.145.0 0.0.0.255
rule 10 permit ip source 10.10.0.0 0.0.255.255 destination 192.168.145.0 0.0.0.255
rule 20 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.145.0 0.0.0.255
rule 100 deny ip
根因
此分支和除总部外的其他分支都可成功建立隧道,可排除IPSec配置的问题。ping不通可能和设置的网段范围过大或是其他ACL配置相关。

END