单台防火墙部署在出口,
外网出口有两个140.x.x.x和189.x.x.x,均配置保持上一跳
内网有一个口连接内网
对接IPSEC建立隧道,感性流转发失败的问题,可以看到感性流会话正常,但是有去无回
denug可以看到正常的esp加密转发,但是对端未收到
需要解决ipsec感性流可通的问题
1、因为ipsec sa是建立正常的,所以ipsec协商的参数是没有问题的,可以reset ike sa,reset ipsec sa尝试让其重新建立,以确认ipsec配置正确
2、查看感性流的路由是否正确配置,通过PBR或者明细路由的方式指向ipsec的加密口,本例现场客户通过策略路由将感性流量引导到加密公网口
3、查看感性流会话,正常,统计有去无回;
4、查看ESP转发会话,发现异常,转发出接口错误,通过示踪中心也看到转发错误;本应直接从140.x.x..x转发的esp报文,转发到189的接口发出;怀疑转发的路由有问题
5、排查发现客户将目的是对端公网的地址加入到明细路由,导致esp报文匹配明细路由从非ipsec接口发出,并nat导致转发失败
配置正确的策略路由,明细路由,保证感性流量、esp加密流量都能从正确的接口发出
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作