AR 配置IPSec功能后,流量不通

发布时间:  2015-03-31 浏览次数:  442 下载次数:  0
问题描述
组网情况:




RouteA重要配置:

#
acl number 3000
rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
rule 20 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
rule 30 permit ip source 192.168.202.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
rule 40 permit ip source 192.168.201.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
rule 50 deny ip
#
ipsec proposal 2
#
ike proposal 2
#
ike peer aaa v1
pre-shared-key huawei
#
ipsec policy-template hrui 10
security acl 3000
ike-peer aaa
proposal 2
#
ipsec policy huir 10 isakmp template hrui
#


现象描述:

客户反馈IPSec隧道建立成功后,无法访问公网(该部分流量不需要进行IPSec加密),把IPSec策略从接口上去绑定后,可以正常上网;
客户配置4条ACL规则,但是只有一条ACL流量可以通。

处理过程
将两端设备的版本升级到V200R002及之后版本。
根因
1、IPSec的选流ACL中配置了deny规则,而RouteA当前使用的版本(V200R001C01SPC500)不支持deny,默认会将命中deny规则的流量丢弃。修改配置后问题解决(删除deny rule)。
目前V200R002相关版本会将ACL中deny的报文不做IPSec封装,不会丢弃该报文。

2、版本间差异,本问题中一端使用V200R001版本,另一端使用V2R2版本。R1版本是基于ACL Number协商SA,R2版本是基于rule协商SA,所以R1版本设备上协商出1个SA,V200R002设备上协商出4个SA,这样导致只有一条ACL流量可以通。升级到相同的R2版本后,问题解决。
建议与总结
部分特性不同版本间是有一些差异的,建议对接时候采用相同的版本,避免不必要的问题发生。

END