USG2200-AR IPsec 单通

发布时间:  2014-11-17 浏览次数:  572 下载次数:  0
问题描述

1、组网下:SW(三层交换机,私网地址池)---FW(防火墙,建IPSEC,nat转换)----AR(总部与各分支建立IPSec隧道,野蛮模式)---内网用户;参考拓扑如下图所示:
2、IPsec隧道已建立成功,从SW上可以ping通AR下内网地址(GE0/0/1),但是AR上ping不通SW上私网地址。
FW:USG 2210  AR:1200


告警信息
处理过程
1、AR一开始ping不通防火墙接三层交换机的接口地址,怀疑是域间策略没有打开,建议客户检查域间策略后打开包过滤,可以ping通到交换机与防火墙的互联接口地址;但是还是Ping不通AR下内网用户;
2、看了客户的配置后发现防火墙上的nat-policy里面的感兴趣流没有先被deny掉,建议客户调整policy 0 和policy 10的顺序,调整后客户进行测试还是不通;
原配置
nat-policy interzone trust untrust outbound
policy 10
  action source-nat
  policy source 10.128.64.0 0.0.0.255
  ……
  address-group natpool

policy 0
  action no-nat
  policy source 10.128.64.0 0.0.0.255
  policy destination 192.168.9.0 0.0.0.255
 
修改后配置
nat-policy interzone trust untrust outbound
policy 0                          //将不进行NAT的策略执行顺序进行修改,修改到nat策略之前
  action no-nat
  policy source 10.128.64.0 0.0.0.255
  policy destination 192.168.9.0 0.0.0.255
  policy destination 192.168.0.0 0.0.0.255

policy 10
  action source-nat
  policy source 10.128.64.0 0.0.0.255
  ……
  address-group natpool

3、防火墙上的所有可疑点基本都排查过仍然不通,怀疑问题在AR;让客户采集AR的配置过来进行分析,发现AR上是总部建立了模板,而防火墙上未建立模板,所以AR上不能主动触发流量,需要在防火墙的端口下应用ipsec policy asc auto-neg 来开启自动协商;
AR配置如下:
[V200R003C01SPC900]
ipsec sa global-duration time-based 86400
ipsec proposal 1                       
esp authentication-algorithm sha1     
esp encryption-algorithm aes-128      
#                                      
ike proposal 1                         
encryption-algorithm aes-cbc-128      
dh group2                             
#                                      
ike peer hongqiao v1                   
exchange-mode aggressive              
pre-shared-key cipher %$%$a.nEH%>#l2<apV3:#BKJ,.2n%$%$
ike-proposal 1                        
local-address 218.78.217.91           
#                                      
ipsec policy-template hongqiao 1         //AR启用了模板
ike-peer hongqiao                     
proposal 1                            
#                                      
ipsec policy hqvpn 1 isakmp template hongqiao
#                                      
#                                      
interface GigabitEthernet0/0/0         
ip address 218.78.217.91 255.255.255.0
ipsec policy hqvpn                    
FW配置如下:
#
firewall packet-filter default permit interzone trust untrust direction inbound
firewall packet-filter default permit interzone trust untrust direction outbound
#
#
acl number 3000
rule 2 permit ip source 10.128.64.0 0.0.0.255 destination 192.168.9.0 0.0.0.255

#
ike proposal 10
encryption-algorithm aes-128
dh group2
#
ike peer hq
exchange-mode aggressive
pre-shared-key %$%$"S5l@wEr>FyY<#A1'+kKX"vm%$%$
ike-proposal 10
undo version 2
remote-address 218.78.217.91
#
ipsec proposal tran1
esp authentication-algorithm sha1
esp encryption-algorithm aes-128
#
ipsec policy map1 10 isakmp          //防火墙未启用模板方式
security acl 3000
ike-peer hq
alias map1_10
proposal tran1                        
#
#
interface GigabitEthernet0/0/1
description Connect_to_Chinatelecom_adaptor
ip address 124.74.133.46 255.255.255.252
ipsec policy map1
ipsec policy asc auto-neg        //在防火墙的端口配置此命令后可以ping通,问题解决。
根因
auto-neg选项可在使用非模板方式建立IPSec隧道情况下配置,表明IPSec采用自动协商方式建立隧道。如果命令不带此选项,表明IPSec使用流量触发方式建立隧道。在使用策略模板方式建立隧道时,由于配置模板一端不能主动发起协商,若非模板端一直没有流量发送,则无法建立隧道连接。此时可在非模板端配置auto-neg,启用IPSec自动协商功能。非模板端配置auto-neg后,系统立即对数据流进行逐条检查,如果某个数据流所在的隧道尚未建立,即向对端发起协商,建立隧道。每隔一定的时间(远小于安全联盟生命周期)循环检查一次,确保系统中所有的隧道一直都处于已建立的状态。



解决方案
interface GigabitEthernet0/0/1
description Connect_to_Chinatelecom_adaptor
ip address 124.74.133.46 255.255.255.252
ipsec policy map1
ipsec policy asc auto-neg //新增一条此命令;启用IPSec自动协商功能
#
建议与总结
域间单通的情况向客户了解总部是否配置了模板,如果是则需要在接口视图下ipsec policy asc auto-neg启用IPSec自动协商功能。

END