所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

安全产品USG9520(V300R001C01SPC700)对接友商VPN设备出现IPSEC无法建立问题

发布时间:  2018-04-16  |   浏览次数:  480  |   下载次数:  0  |   作者:  senchaunaa121  |   文档编号: EKB1001499214

目录

问题描述

1、版本信息:V300R001C01SPC700

2、组网概述级拓扑:私网A--防火墙--路由器(本端出口)--运营商--路由器(对端出口)--天融信VPN设备--私网B

3、配置脚本:

acl number 3001

 rule permit ip source 192.168.1.1 0  destination 192.168.2.1 0

ike proposal 20
 encryption-algorithm 3des-cbc
 dh group2
 authentication-algorithm md5
 integrity-algorithm hmac-md5-96

ike peer B
 pre-shared-key aaabbbccc
 ike-proposal 20
 undo version 2
 remote-address 3.3.3.3
 nat traversal

ipsec proposal B
 esp authentication-algorithm md5
 esp encryption-algorithm 3des

ipsec policy B 10 isakmp
 security acl 3001
 ike-peer B
 proposal B
 local-address 1.1.1.1

interface Tunnel1
 ip address 1.1.1.1 32
 tunnel-protocol ipsec
 ipsec policy B

4、对接情况说明:

配置完毕后,于防火墙上输入display ike sa发现无以对端peer 地址的链接会话表项


告警信息

告警信息:通过在防火墙上的诊断中心查看到阶段一处于未协商起来(原因:参数不匹配、密钥等有不一致情况)

处理过程

处理过程:

1、通过在防火墙边界输入display firewall session table verbose source global 3.3.3.3 查看是否有端口号500和4500的会话表项,结果显示防火墙侧的数据包是收发都是存在的,因此原因出在对端

2、通过查看产品手册,添加如下命令

ike peer B
 pre-shared-key aaabbbccc
 ike-proposal 20
 undo version 2
 remote-address 3.3.3.3
 remote-address authentication-address 2.2.2.2 // 2.2.2.2代表对端天融信VPN设备的地址
 nat traversal

3、添加已上命令后再输入display ike sa后,发现与对端IPSEC-VPN已成功建立

根因

1、防火墙发给对端的公网设备后,由于天融信设备无法开启NAT穿越功能,导致防火墙发给对端公网设备的数据包无法继续送给天融信的VPN设备,数据包的交互失败导致IPSEC-VPN建立不起来,通过在ike peer参数中添加remote-address authentication-address start-ipv4-address [ end-ipv4-address ]命令指定NAT转换前的IP地址来使得数据包可以正确的送达VPN设备。

解决方案

1、遇到NAT穿越场景的时候,首先需要开启NAT-TRAVEL 功能,确保设备可以使用4500端口进行协商

2、NAT穿越场景需要把VPN设备的端口500、4500映射至出口设备上

3、遇到对端无法启用NAT穿越的场景的时候,在配置peer的时候,添加 命令remote-address authentication-address xxx.xxx.xxx.xxx来尝试进行数据包的正确交互。

建议与总结

1、IPSEC-VPN对接友商时候需要确认清楚是否支持穿越功能等。

2、NAT穿越场景的IPSEC-VPN配置对接时需要确认是否映射了500、4500端口。