AR2200 (V200R005C20SPC200) IPSEC VPN不通

发布时间:  2015-12-31 浏览次数:  613 下载次数:  0
问题描述
总部为固定IP,但前端有NAT设备,NAT全映射到AR2200上,分部AR120-S在NAT内网
总部与分部能够建立IPSEC,但数据不通。
总部版本:V200R005C20SPC200
分部版本:V200R005C10SPC300


处理过程
1.查看分部的ipsec sa正常,且有数据发出,但inbound方向没有数据进入。
分部信息
[router-fb]dis ipsec sa

===============================
Interface: Ethernet0/0/4
 Path MTU: 1500
===============================

  -----------------------------
  IPSec policy name: "policy1"
  Sequence number  : 10
  Acl group        : 3101
  Acl rule         : 6
  Mode             : ISAKMP
  -----------------------------
    Connection ID     : 26819
    Encapsulation mode: Tunnel
    Tunnel local      : 192.168.5.201
    Tunnel remote     : x.x.47.132
    Flow source       : 10.36.11.0/255.255.255.0 0/0
    Flow destination  : 192.168.0.0/255.255.255.0 0/0
    Qos pre-classify  : Disable
    Qos group         : -

    [Outbound ESP SAs]
      SPI: 1694126093 (0x64fa500d)
      Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
      SA remaining key duration (bytes/sec): 1887426060/1415
      Max sent sequence-number: 179
      UDP encapsulation used for NAT traversal: Y

    [Inbound ESP SAs]
      SPI: 495303934 (0x1d85bcfe)
      Proposal: ESP-ENCRYPT-AES-128 SHA2-256-128
      SA remaining key duration (bytes/sec): 1887436800/1415
      Max received sequence-number: 0
      Anti-replay window size: 32
      UDP encapsulation used for NAT traversal: Y

2.通过在总部设备上抓包,发现可以收到分部发到总部的ESP报文,但没有总部到分部的ESP报文,肯定问题出在总部
3.在总部查看dis ipsec statistics esp 可以看到 AuthFail count 在不停增加。

[router-t-diagnose]dis ipsec statistics esp
 Inpacket count            : 373
 Inpacket auth count       : 0
 Inpacket decap count      : 0
 Outpacket count           : 20326
 Outpacket auth count      : 0
 Outpacket encap count     : 0
 Inpacket drop count       : 0
 Outpacket drop count      : 0
 BadAuthLen count          : 0
 AuthFail count            : 117488
 InSAAclCheckFail count    : 0
 PktDuplicateDrop count    : 0
 PktSeqNoTooSmallDrop count: 0
 PktInSAMissDrop count     : 0
[router-tried-diagnose]dis ipsec statistics esp
 Inpacket count            : 373
 Inpacket auth count       : 0
 Inpacket decap count      : 0
 Outpacket count           : 20326
 Outpacket auth count      : 0
 Outpacket encap count     : 0
 Inpacket drop count       : 0
 Outpacket drop count      : 0
 BadAuthLen count          : 0
 AuthFail count            : 117493
 InSAAclCheckFail count    : 0
 PktDuplicateDrop count    : 0
 PktSeqNoTooSmallDrop count: 0
 PktInSAMissDrop count     : 0
[router-tried-diagnose]dis ipsec statistics esp
 Inpacket count            : 373
 Inpacket auth count       : 0
 Inpacket decap count      : 0
 Outpacket count           : 20326
 Outpacket auth count      : 0
 Outpacket encap count     : 0
 Inpacket drop count       : 0
 Outpacket drop count      : 0
 BadAuthLen count          : 0
 AuthFail count            : 117499
 InSAAclCheckFail count    : 0
 PktDuplicateDrop count    : 0
 PktSeqNoTooSmallDrop count: 0
 PktInSAMissDrop count     : 0

4.因为这里明确看到AuthFail count在不停的增长,而用户又使用SHA2验证算法
=========================================
ipsec proposal tran1
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-128
#
ike proposal 5
 encryption-algorithm aes-cbc-128
 authentication-algorithm sha2-256
========================================= 
联想到华为设备与C厂对接时也出现过SHA2的兼容性问题。所以
在总部全局增加命令ipsec authentication sha2 compatible enable后,IPSEC VPN 正常。

[router-t]ping -a 192.168.0.1 10.36.11.1
  PING 10.36.11.1: 56  data bytes, press CTRL_C to break
    Reply from 10.36.11.1: bytes=56 Sequence=1 ttl=255 time=12 ms
    Reply from 10.36.11.1: bytes=56 Sequence=2 ttl=255 time=11 ms
    Reply from 10.36.11.1: bytes=56 Sequence=3 ttl=255 time=17 ms
    Reply from 10.36.11.1: bytes=56 Sequence=4 ttl=255 time=11 ms
    Reply from 10.36.11.1: bytes=56 Sequence=5 ttl=255 time=16 ms
根因

SHA2算法兼容性问题

解决方案
全局增加命令ipsec authentication sha2 compatible enable

END