USG2110-F替换USG2130后ipsec不通

发布时间:  2015-05-22 浏览次数:  279 下载次数:  0
问题描述
USG2110-F替换V2R5版本的USG2130,配置完全参考USG2130的配置,替换前ipsec vpn正常使用,但替换后USG2110-F跟总部防火墙无法建立ipsec。
处理过程

1、考虑到设备替换前的ipsec vpn是正常使用的,总部的ipsec配置没有改动,替换后ipsec无法建立,很可能是协商参数不一致,由于之前USG2130的版本为V2R5版本,新的USG2110-F为V3R1版本,可能默认参数不一致,最后检查发现替换前USG2130的ike proposal的dh group默认为group1,而USG2110-F的默认值为group2

USG2130和USG2110-F的ike proposal参数分别如下

[USG2130]display ike proposal
priority authentication authentication encryption Diffie-Hellman duration
              method       algorithm    algorithm     group       (seconds)
---------------------------------------------------------------------------
2        PRE_SHARED     SHA            DES_CBC    MODP_768       86400   
default  PRE_SHARED     SHA            DES_CBC    MODP_768       86400

<USG2110-F>dis ike proposal
priority authentication authentication encryption Diffie-Hellman duration
              method       algorithm    algorithm     group       (seconds)
---------------------------------------------------------------------------    
2        PRE_SHARED     SHA1           DES_CBC    MODP_1024      86400   
default  PRE_SHARED     SHA1           256-AES    MODP_1024      86400  

从2台设备的默认参数可以看出dh group不一致,将USG2110-F的ike proposal改为dh group1后ipsec能正常建立。

2、ipsec正常建立后客户反映部分业务网段能通,但是部分业务还是不通,查看设备的ipsec sa 



从ipsec sa看到同一总部需要建立2条ipsec分别走不同的业务,第一条ipsec的2个阶段都建立起来,业务正常,第二条ipsec的1阶段已经建立,但是第二阶段没有正常建立,这很可能是acl的感兴趣流配置问题

3、仔细检查设备配置,发现到同一总部的2条ipsec隧道的感兴趣流有互相包含的关系

acl number 3001
description V10V20_to-Province
rule 5 deny ip source 10.196.0.0 0.0.255.255 destination 10.196.0.0 0.0.255.255
rule 10 permit ip source 10.93.150.0 0.0.0.31 destination 10.196.0.0 0.0.255.255

#
acl number 3003
description V30_to-Province
rule 2 permit ip source 10.196.143.192 0.0.0.7 destination 10.196.0.0 0.0.255.255

即第二条ipsec的感兴趣流被第一条的acl所包含并且为deny,将acl 3001中的rule5删除后ipsec二阶段能正常建立,业务也正常

根因

1、ike proposal的dh group不一致导致ipsec sa无法建立

2、acl感兴趣流冲突导致ipsec sa第二阶段无法建立

解决方案

1、修改ike proposal的dh group的默认参数,使建立ipsec的设备2端参数一致;

2、修改包含关系的感兴趣流acl。

建议与总结
大部分情况下ipsec无法建立的原因一般是协商参数不一致,感兴趣流不是互为镜像或者配置错误,nat转换导致协商端口号不一样等,特别是新设备替换老设备时,不同版本的一些默认参数同,需要仔细核对每一个协商参数是否一致。

END