USG5100在接口下引用ipsec policy导致整个网络断网

发布时间:  2015-04-28 浏览次数:  209 下载次数:  0
问题描述

USG5100  V200R005

组网拓扑:PC--USG5100-----Internet-----Router---PC

配置脚本:

#
ip service-set 所有网络端口 type object
description 关闭所有网络
service 0 protocol tcp source-port 0 to 65535 destination-port 0 to 65535
service 1 protocol udp source-port 0 to 65535 destination-port 0 to 65535
#

#
acl number 3001
rule 5 permit service-set 所有网络端口
rule 10 permit udp source 192.168.4.0 0.0.0.255 destination 192.168.90.0 0.0.0.255
#

#
ipsec policy-template tpl25595958734 1
security acl 3001
pfs dh-group2
ike-peer ike25595958734
proposal prop25595958734
local-address 110.86.30.198
sa duration time-based 86400
#

#
interface Virtual-Template0
ppp authentication-mode chap
ip address 192.168.80.1 255.255.255.0
remote address pool 1
#

#
interface GigabitEthernet0/0/3
description to_chinanet
ip address 110.86.30.198 255.255.255.248
#

故障现象:当在接口GE0/0/3下调用ipsec policy后就会导致全部走电信出口的用户断网,且通过110.86.30.198也无法登录设备

告警信息
当在接口GE0/0/3下调用ipsec policy后就会导致全部走电信出口的用户断网,且通过110.86.30.198也无法登录设备
处理过程

1、采集配置进行分析

#
acl number 3001
rule 5 permit service-set 所有网络端口  //怀疑此配置存在问题 
rule 10 permit udp source 192.168.4.0 0.0.0.255 destination 192.168.90.0 0.0.0.255
#

2、让客户将acl 3001下的rule 5删除,然后再在GE0/0/3下掉用ipsec policy成功,未出现断网,且设备也可以正常登录;

3、display Ike sa 、display ipsec sa都正常,但是无法ping通对方私网PC电脑;

4、让客户写上明细静态路由:ip route-static 192.168.90.0 0.0.0.255  110.86.30.193 ,问题解决

根因

由于acl里面首先匹配了rule 5的策略所有的tcp、udp0-65535 端口都通过IPSEC VPN 隧道走了,导致断网,删除rule 5后问题解决

#
ip service-set 所有网络端口 type object
description 关闭所有网络
service 0 protocol tcp source-port 0 to 65535 destination-port 0 to 65535
service 1 protocol udp source-port 0 to 65535 destination-port 0 to 65535
#

#
acl number 3001
rule 5 permit service-set 所有网络端口      -----该命令导致所有流量进入IPSEC隧道 
rule 10 permit udp source 192.168.4.0 0.0.0.255 destination 192.168.90.0 0.0.0.255
#

解决方案
删除acl 3001下的rule 5,只匹配明细的源ip地址和目标ip地址;
建议与总结
acl里面的rule一定要根据实际情况进行明细匹配,以防导致其他数据走VPN隧道而不通;

END