USG6530本端触发建立IPSEC VPN失败

发布时间:  2016-09-16 浏览次数:  116 下载次数:  0
问题描述

拓扑如下:

企业使用电信、移动双出口分别与分公司建立IPSEC VPN,目前使用移动出口建立IPSEC VPN局点能正常,使用电信出口建立IPsec vpn一直不正常;

告警信息
处理过程
1、在分支1上查看ike状态一直NEG(NEGOTIATING)状态(表示IKE SA正在协商中,是由隧道两端设置的某些参数不一致导致),
2、确认两端ike协商参数已经完全一致,查看IKE 第一阶段报文始终没有接收到对端发送回来的报文(两端相互地址能ping通);
<USG6530>display firewall session table verbose destination-port 500
19:38:25  2016/09/16
 Current Total Sessions : 1
  udp  VPN:public --> public
  Zone: local--> trust  TTL: 00:02:00  Left: 00:01:49
  Interface: GigabitEthernet0/0/0  NextHop: 2.2.2.1  MAC: 00-e0-fc-69-70-e7
  <--packets:0 bytes:0   -->packets:4 bytes:1144
  2.2.2.2:500-->1.1.1.1:500
3、查看中心局点到分支1回包信息发现报文始终被发送到移动出口,分支1与总部使用电信出口建立隧道;
4、此时清空两端Sa信息让分支1主动触发建立隧道能正常建立,说明源进源出没有异常;
5、在总部局点添加一条到分支1的明细静态路由问题解决;
根因
当中心局点使用多出口及多条等价路由方式与分支局点建立隧道时;由于hash算法导致端本端主动发送出去的报文接口与对端回包接口不一致出现协商不能通过;
解决方案
在中心局点添加明细路由指定出接口;
建议与总结
在处理多出口防火墙问题时要学会查看防火墙进出会话信息是否与现网配置需求一致;

END