USG2100(V300R001C10SPC500)产品ipsec对接业务不通

发布时间:  2015-09-23 浏览次数:  278 下载次数:  0
问题描述
两台USG2100一端使用点到多点模式,一端使用点到点模式,IKE SA和IPsec SA都已经正常协商通过。但是两端的内网无法ping通
告警信息
处理过程

针对所有的IPsec问题都可以采用以下方式排查

1、确定两端的IKE SA和IPsec SA是否都已经正常协商通过,如果IKE SA没有协商起来,那就确定两端的公网是否可达,如果不可达排查网络层的问题。如果可达,对比IKE参数,保持两端IKE的参数正确配置。可以通过命令display IKE proposal查看本地的IKE配置和对端IKE是否保持一致

<sysname> display ike proposal
priority authentication authentication encryption Diffie-Hellman duration
              method       algorithm    algorithm     group       (seconds)
--------------------------------------------------------------------------- 
default        PRE_SHARED     SHA1            3DES_CBC   MODP_1536      86400

2、如果IKE SA协商起来了,但是IPsec SA没有协商起来,那就对比IPsec的配置参数,使用display ipsec proposal查看本地IPsec参数和对端是否匹配

<sysname> display ipsec proposal
                                                                               
  IPsec proposal name: prop1                                                   
    encapsulation mode: tunnel                                                 
    transform: esp-new                                                         
    ESP protocol: authentication sha1-hmac-96, encryption aes

3、如果两端IPsec SA和IKE SA参数都已经正常协商起来了,但是两端内网无法ping通。

第一:检查ACL的配置,确定ACL是否匹配上了需要走隧道的流量。

第二:检查路由和NAT的配置,确定路由或者是策略路由是否将感兴趣流量路由到正确的出口,如果路由没有问题,检查nat配置(内网测试设备的IP地址如果匹配上nat server表项也会做源nat)是否将感兴趣流的地址做了转换导致不能正确匹配上感兴趣流的ACL。

   通过以上的排查都没有发现问题,登陆到防火墙查看会话,防火墙上的会话显示分部已经正常将流量转发出去,但是总部没有回,但是在总部设备上没有看到会话,怀疑是运营商把报文丢弃了。客户反馈之前用其他设备使用IPsec通信是没有问题的,最后通过分析IPsec SA发现NAT 穿越没有打开。

<sysname> display ipsec sa

===============================
Interface: GigabitEthernet0/0/1
    path MTU: 1500
===============================

  -----------------------------
  IPsec policy name: "map1"
  sequence number: 10
  mode: isakmp
  vpn: public
  -----------------------------
    connection id: 2
    rule number: 5
    encapsulation mode: tunnel
    tunnel local : 192.168.2.20    tunnel remote: 216.58.221.22

    flow      source: 1.1.2.0-1.1.2.255 0-65535 0
    flow destination: 1.1.1.0-1.1.1.255 0-65535 0

    [inbound ESP SAs]
      spi: 5792601 (0x586359)
      vpn: public      said: 4  cpuid: 0x0000
      proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA1
      sa remaining key duration (bytes/sec): 1887436464/2688
      max received sequence-number: 4
      udp encapsulation used for nat traversal: N

    [outbound ESP SAs]
      spi: 142658857 (0x880cd29)
      vpn: public      said: 5  cpuid: 0x0000
      proposal: ESP-ENCRYPT-AES ESP-AUTH-SHA1
      sa remaining key duration (bytes/sec): 1887436464/2688
      max sent sequence-number: 5
      udp encapsulation used for nat traversal: N

客户分部运营商提供的是私有IP地址,在协商阶段使用的是UDP500号端口,但是IPsec隧道建立后,数据从IPsec 隧道走,没有了TCP和UDP报头,到达运营商后无法做二次nat转发,最后被运营商丢弃。最后开启nat穿越后,问题解决

[sysname] ike peer peer1
[sysname-ike-peer-peer1] nat traversal

根因

没有开启nat穿越功能,开启后问题解决

解决方案

开启nat穿越后问题解决

[sysname] ike peer peer1
[sysname-ike-peer-peer1] nat traversal

END