USG6680内网不能访问公网问题

发布时间:  2016-10-19 浏览次数:  83 下载次数:  1
问题描述

USG6680ipsec能建立成功,内网不能访问公网

告警信息
处理过程

1.在防火墙上display acl all及display  ipsec sa,查看到如下信息;

[USG6680]display  acl all

Advanced ACL 3000, 1 rule ( Reference counter 1 )

Acl's step is 5

 rule 5 permit ip (0 times matched)

 

[USG6680]display  ipsec sa

ipsec sa information:

===============================

Interface: GigabitEthernet1/0/0

===============================

  -----------------------------

  IPSec policy name: "ipsec2691457179"

  Sequence number  : 1

  Acl group        : 3000

  Acl rule         : 5

  Mode             : ISAKMP

  -----------------------------

    Connection ID     : 10

    Encapsulation mode: Tunnel

    Tunnel local      : 12.1.1.1

    Tunnel remote     : 23.1.1.2

    Flow source       : 0.0.0.0/0.0.0.0 0/0

    Flow destination  : 0.0.0.0/0.0.0.0 0/0

    [Outbound ESP SAs]

      SPI: 1946157668 (0x74000264)

      Proposal: ESP-ENCRYPT-AES-256 SHA2-256-128

      SA remaining key duration (kilobytes/sec): 10480219/3291

      Max sent sequence-number: 67017

      UDP encapsulation used for NAT traversal: N

      SA encrypted packets (number/kilobytes): 67016/5541

    [Inbound ESP SAs]

      SPI: 759985991 (0x2d4c7747)

      Proposal: ESP-ENCRYPT-AES-256 SHA2-256-128

      SA remaining key duration (kilobytes/sec): 10480272/3291

      Max received sequence-number: 66956

      UDP encapsulation used for NAT traversal: N

      SA decrypted packets (number/kilobytes): 66568/5488

      Anti-replay : Enable

      Anti-replay window size: 1024

    *  acl 3000为any到any且在ipsec中调用。

2.经过分析,判断为配置故障导致问题所在,通过修改acl 3000;

修改步骤:

acl 3000

rule permit ip source 10.13.100.0  0.0.0.255  destination  10.13.101.0 0.0.0.255

问题解决。

根因

配置错误导致问题所在,acl 3000 anyany且在ipsec中调用,出流量转发时直接进入ipsec隧道;所以内网不能访问公网。修改acl 3000解决问题。

解决方案

修改错误配置解决问题。

建议与总结

在保证客户业务正常运行的情况下,通过配置排查,定位问题根因

END