2台USG6300的ipsec已建立,但业务单通

发布时间:  2015-12-27 浏览次数:  353 下载次数:  0
问题描述

用户(10.2.20.253)—(10.2.20.254USG63201.1.1.1---互联网---2.2.2.2 USG6330—服务器(10.0.0.114

组网如上图所示,2台USG6300之间建立ipsec,USG6330为总部,使用模板方式建立,ipsec已经正常建立,分部USG带着10.2.20.254源地址能ping通总部的10.0.0.114,但是总部的10.0.0.114无法ping通分部的10.2.20.254

处理过程

1、如果ipsec vpn正常建立但业务不通时一般的原因是感兴趣流配置错误或者安全区域策略没有放开;

2、如果ipsec vpn正常建立但业务单通,一般是区域间安全策略没有放开导致,首先检查2台USG6300的区域间安全策略是否限制,但通过检测发现全局策略为permit,没有限制;

3、在总部服务器10.0.0.114上ping10.2.20.254,无法ping通,在总部的USG6300上能看到会话表,但没有回包,分部的USG没有生产会话表,难道是被分部防火墙丢弃?

4、在分部的USG上做流统发现确实被防火墙丢弃

  [USG6300-SZNH-diagnose]display  firewall statistic acl 
 13:28:08  2015/12/25
    
  Protocol(ICMP) SourceIp(10.0.0.114) DestinationIp(10.2.20.254)   
  SourcePort(2) DestinationPort(2048) VpnIndex(public)   
                  RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag   
  Obverse(pkts) : 22          0           0           22          0             
  Reverse(pkts) : 0           0           0           0           0          
    
  Discard detail information:
   IF_SERVICE_MANAGER_PACKET_FILTER:     22

5、分部防火墙策略没有限制为何会丢弃总部过来的ping报文?检查防火墙的外网接口,发现接口没有开启 servie-manage ping permit ,开启后正常

根因
分部防火墙的报文入口没有开启 servie-manage ping permit ,对于下一代防火墙,如果需要对防火墙进行ping、telnet、http等操作,则相应的报文入口需要开启相应的服务。
解决方案
在防火墙的报文入口开启 servie-manage ping permit 口总部也能ping通分部ipsec vpn中的业务网关地址

END