AR2240跟AR2240的ipsec业务单通

发布时间:  2016-02-04 浏览次数:  457 下载次数:  0
问题描述

2台AR2240建立ipsec vpn,主点的内网服务器能够ping通分点的内网服务器,但分点内网服务器无法ping通主点内网服务器。2台AR2240的关键配置如下:

主点AR2240配置:

#
acl number 3000 
 rule 1 permit ip source 192.168.168.0 0.0.0.255 
acl number 3001 
 rule 0 permit ip source 172.17.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255

#
interface GigabitEthernet0/0/0
 ip address 1.1.1.1 255.255.255.128
 ipsec policy branch
 nat server protocol tcp global 1.1.1.2 5000 inside 172.17.9.1 3389
 nat outbound 3000

分点AR2240配置如下:

#
acl number 3000 
 rule 0 permit ip source 172.16.0.0 0.0.255.255
 rule 1 permit ip source 192.168.169.0 0.0.0.255
acl number 3001 
 rule 0 permit ip source 172.16.0.0 0.0.255.255 destination 172.17.0.0 0.0.255.255

#                                        
interface GigabitEthernet0/0/0
 ip address 2.2.2.1 255.255.255.128
 ipsec policy branch 
 nat outbound 3000

告警信息
处理过程

1、ipsec vpn业务单通,首先想到的是否主点服务器被禁ping,但如果直接在主点的AR路由器上是可以ping通主点内网服务器的,可以确定内网服务器是可以被ping的;

2、是否主分点网络中有经过防火墙设备导致?跟客户确认网络中没有经过任何防火墙;

3、是否nat导致?检查分点AR2240的NAT发现172.16.0.0/16网段做了nat,但并没有把访问主点内网服务器网段172.17.0.0/16从nat中排除,而主点172.17.0.0/16网段没有在nat转换的acl中,当主点内网用户ping分点内网时,主点侧的报文不会做NAT转换,正常进入ipsec隧道,而从分点的回包直接匹配ipsec会话,也不会做nat转换,所以主点能ping通分点,但是当分点服务器主动ping主点服务器时,分点到主点的报文会做NAT转换,而感兴趣流中的acl是内网地址而不是公网地址,从而导致分点无法ping通主点。在分点中将NAT转换的acl修改如下后能分点能正常ping通主点服务器。

acl number 3000 
 rule 0 deny ip source 172.16.0.0 0.0.255.255 destination 172.17.0.0 0.0.255.255     //进入ipsec的业务不要做nat转换
 rule 5 permit ip source 172.16.0.0 0.0.255.255
 rule 10 permit ip source 192.168.169.0 0.0.0.255

4、分点NAT中的ACL修改后主点和分点之间的服务器能正常互通,但又出现新的问题,主点其中一台服务器无法通过ssh连接分点服务器,但能ping通分点服务器,主点其他服务器可以通过ssh连接分点服务器。

由于主点其他服务器能够通过ssh连接分点服务器,因此可以排除分点服务器本身问题,跟客户确认无法ssh连接分点的服务器地址为172.17.9.1,进一步检查主点配置发现此服务器地址做了nat server映射,虽然没有做nat outbound的转换,但nat server映射会生成反向的nat map表项,当172.17.9.1通过ssh连接分点服务器时会匹配反向的nat map表从而做nat转换,而ping报文由于不属于tcp服务,不会匹配发现nat map表项,所以可以正常ping通。为了解决这个问题,可以将主点的nat server映射修改为nat static映射,因为nat static映射不会生产nat 反向map表项。

#
interface GigabitEthernet0/0/0
 ip address 1.1.1.1 255.255.255.128
 ipsec policy branch
 nat static protocol tcp global 1.1.1.2 5000 inside 172.17.9.1 3389
 nat outbound 3000

 

根因

1、ipsec业务流没有从nat outbound的acl中deny;

2、nat server映射导致报文优先匹配反向nat map表项;

END