ar2240 配置总部和分支间的IPSec VPN后,隧道建立失败

发布时间:  2016-01-28 浏览次数:  356 下载次数:  0
问题描述
3台AR2240设备分别属于peisong、meixi和jialian三个站点。它们都连接有多个私有网络,需要相互建立安全的通信连接。通过部署IPSec策略组的方式,完成多条IPSec隧道的建立。
客户配置完IPSec VPN后,分支与总部、分支与分支之间的隧道都没有建立成功。

网络拓扑模拟如右下图所示:
处理过程

1.首先检查3台设备的相关配置。
结果发现在peisong上存在如下错误:
ike peer peisong1 v1
exchange-mode aggressive
pre-shared-key cipher %$%$`VE1;,f]`;0x1RTpyS46,.2n%$%$
ike-proposal 1
local-address 120.104.213.147
remote-address 123.55.76.30
ike peer peisong2 v1
exchange-mode aggressive
pre-shared-key cipher %$%$`VE1;,f]`;0x1RTpyS46,.2n%$%$
ike-proposal 1
local-address 120.104.213.147
remote-address 123.55.76.31
#
interface GigabitEthernet0/0/0
ip address 120.194.213.147 255.255.255.224
ipsec policy map1
nat outbound 3000
经与客户沟通确认,由于他的手误,将local-address(120.194.213.147)配置为了120.104.213.147。改正后peisong与jialian和meixi之间的隧道建立成功。

2.但还存在jialian与meixi之间的隧道建立不成功的问题,经过仔细检查相关配置发现,他们的公网接口地址为同一网段(子网掩码为24位),相关信息如下:
(1)jialian的配置
ike peer jialian2 v1
exchange-mode aggressive
pre-shared-key simple huawei123
ike-proposal 1
local-address 123.55.76.30
remote-address 123.55.76.31
(2)mexi的配置
ike peer meixi1 v1
exchange-mode aggressive
pre-shared-key simple huawei123
ike-proposal 1
local-address 123.55.76.31
remote-address 123.55.76.30
3.分析报文的转发流程发现,假如隧道的建立方向为jialian?meixi(反方向原理一样),首先jialian在封装数据包之前发现目的IP地址和自己在同一个网段内,因此直接发送ARP广播报文来请求123.55.76.31的MAC地址,但却一直得不到ARP响应。抓包如下

因此,无法继续进行隧道的建立过程。由于公网地址由电信运营商分配,因此建议客户与电信运营商沟通,确认是否做了某些限制等。客户与电信运营商沟通后确认属于运营商的问题,运营商进行调整后,隧道建立成功。至此,三个站点的IPSec VPN全部建立成功,各站点间的私网网络访问正常。 

根因

1.客户配置错误(低级错误)

2.运营商侧网络配置问题

解决方案

1、对错误的配置进行修正

2、运营商侧网络配置问题,联系运营商解决

建议与总结
看似复杂的问题,其根因可能很简单,有时也会是多个简单问题的组合,排查过程的思路很重要。

END