• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

MSR56因ipsec抗重放功能导致不通问题经验案例

2023-06-02 发表
  • 0关注
  • 0收藏 1246浏览
郭昊
郭昊 九段
粉丝:35人 关注:2人

问题描述

总部MSR56与分支MSR36建立ipsec,能够协商ike/ipsec sa,私网业务不通。

过程分析

此类问题一般排查思路为:确认两端ipsec sa是否一致、确认ipsec sa计数是否正常、确认丢包位置。

1.    确认sa表项是否一致,一般关注以下几点:

a.    sa对应接口与配置预期是否一致;

b.    感兴趣流(flow)是否完全对称;

c.     分支in spi与总部out spi是否一致,分支out spi与总部in spi是否一致。

本案例中以上参数均正确。

分支

总部

<branch>dis ipsec sa remote 10.0.0.1

Interface: Vlan-interface200

  IPsec policy:

ADWAN-Ipsec-Vlan-interface200

  Sequence number: 300

  Mode: ISAKMP

  -----------------------------

    Tunnel id: 9

    Encapsulation mode: tunnel

    Perfect Forward Secrecy:

    Inside VPN:

    Extended Sequence Numbers enable: N

    Traffic Flow Confidentiality enable: N

    Transmitting entity: Initiator

    Path MTU: 1420

    IPsec over tcp: Disabled

    IPsec over tcp mode: --

    Tunnel:

        local  address/port: 10.0.0.2/15254

        remote address/port: 10.0.0.1/4500

    Flow:

sour addr: 2.2.2.2/255.255.255.255  port: 0  protocol: ip

dest addr: 1.1.1.1/255.255.255.255  port: 0  protocol: ip       

    [Inbound ESP SAs]

      SPI: 532480371 (0x1fbd0173)

      Connection ID: 43430709297181

      Transform set: ESP-ENCRYPT-SM4-CBC ESP-AUTH-SM3

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1788163/2646

      Max received sequence-number: 0

      Anti-replay check enable: N

      Anti-replay window size:

      Encapsulation used for NAT traversal: Y

      Status: Active

    [Outbound ESP SAs]

      SPI: 1776146501 (0x69ddd845)

      Connection ID: 42511586295840

      Transform set: ESP-ENCRYPT-SM4-CBC ESP-AUTH-SM3

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1806139/2646

      Max sent sequence-number: 104667

      Encapsulation used for NAT traversal: Y

      Status: Active   

<center>dis ipsec sa remote 10.0.0.2

Interface: Ten-GigabitEthernet3/0/0.4090

IPsec policy:

ADWAN-Ipsec-Ten-GigabitEthernet3/0/0.4090

  Sequence number: 65535

  Mode: Template

  -----------------------------

    Tunnel id: 112

    Encapsulation mode: tunnel

    Perfect Forward Secrecy:

    Inside VPN:

    Extended Sequence Numbers enable: N

    Traffic Flow Confidentiality enable: N

    Transmitting entity: Responder

    Path MTU: 1420

    IPsec over tcp: Disabled

    IPsec over tcp mode: --

    Tunnel:

        local  address/port: 10.0.0.1/4500

        remote address/port: 10.0.0.2/15254

    Flow:

sour addr: 1.1.1.1/255.255.255.255  port: 0  protocol: ip

dest addr: 2.2.2.2/255.255.255.255  port: 0  protocol: ip

    [Inbound ESP SAs]

      SPI: 1776146501 (0x69ddd845)

      Connection ID: 20336670146704

      Transform set: ESP-ENCRYPT-SM4-CBC ESP-AUTH-SM3

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1810388/1553

      Max received sequence-number: 73260

      Anti-replay check enable: Y

      Anti-replay window size: 64

      Encapsulation used for NAT traversal: Y

      Status: Active

 

    [Outbound ESP SAs]

      SPI: 532480371 (0x1fbd0173)

      Connection ID: 20697447399774

      Transform set: ESP-ENCRYPT-SM4-CBC ESP-AUTH-SM3

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1788074/1553

      Max sent sequence-number: 72805

      Encapsulation used for NAT traversal: Y

      Status: Active

2.   确认ipsec sa正确后,需检查两端收发包情况。常用命令为dis ipsec statistics。在本案例中以分支设备查看情况为例。

<branch>dis ipsec statistics tunnel-id 9  //tunnel id 9为上述异常业务said

  IPsec packet statistics:

    Received/sent packets: 34902/38706  //38706为发包计数

    Received/sent bytes: 4711760/5152336

    Dropped packets (received/sent): 0/0

 

    Dropped packets statistics

      No available SA: 0

      Wrong SA: 0

      Invalid length: 0

      Authentication failure: 0

      Encapsulation failure: 0

      Decapsulation failure: 0

      Replayed packets: 0

      ACL check failure: 0

      MTU check failure: 0

      Loopback limit exceeded: 0

      Crypto speed limit exceeded: 0

<branch>repeat 1 delay 5

<branch>dis ipsec statistics tunnel-id 9

  IPsec packet statistics:

    Received/sent packets: 34907/38713

    Received/sent bytes: 4712480/5153280

    Dropped packets (received/sent): 0/0

 

    Dropped packets statistics

      No available SA: 0

      Wrong SA: 0

      Invalid length: 0

      Authentication failure: 0

      Encapsulation failure: 0

      Decapsulation failure: 0

      Replayed packets: 0

      ACL check failure: 0

      MTU check failure: 0

      Loopback limit exceeded: 0

      Crypto speed limit exceeded: 0

<branch>dis ipsec statistics tunnel-id 9

  IPsec packet statistics:

    Received/sent packets: 34923/38728  //无人为操作时,间隔5s发包15

    Received/sent bytes: 4714480/5155168

    Dropped packets (received/sent): 0/0

 

    Dropped packets statistics

      No available SA: 0

      Wrong SA: 0

      Invalid length: 0

      Authentication failure: 0

      Encapsulation failure: 0

      Decapsulation failure: 0

      Replayed packets: 0

      ACL check failure: 0

      MTU check failure: 0

      Loopback limit exceeded: 0

      Crypto speed limit exceeded: 0

 

<branch>ping -c 100000 -m 10 -t 10 -a 2.2.2.2 1.1.1.1  

//通过ping构造流量,因通过上述命令判断该sa存在一定背景流量,此处ping测试需通过-m-t参数将发包间隔和等待超时间隔缩短。上述参数发包频率大约50pps

Ping 1.1.1.1 (1.1.1.1): 56 data bytes, press CTRL_C to break

Request time out

Request time out

Request time out

Request time out

Request time out

……

--- Ping statistics for 1.1.1.1 ---

236 packet(s) transmitted, 0 packet(s) received, 100.0% packet loss

 

<branch>dis ipsec statistics tunnel-id 9

  IPsec packet statistics:

    Received/sent packets: 34923/39008  //ping执行约5s,发包计数增长约300,远大于背景流量速率,说明测试流量匹配到此处计数,ipsec发包正常。如此处没有计数,说明流量走到其他功能或进程,需检查nat aclpacket filterqos policy等配置。

    Received/sent bytes: 4714480/5166642

    Dropped packets (received/sent): 0/0

 

    Dropped packets statistics

      No available SA: 0

      Wrong SA: 0

      Invalid length: 0

      Authentication failure: 0

      Encapsulation failure: 0

      Decapsulation failure: 0

      Replayed packets: 0

      ACL check failure: 0

      MTU check failure: 0

      Loopback limit exceeded: 0

      Crypto speed limit exceeded: 0

 

       同样,在总部侧检查ipsec sa计数。

[center]dis ipsec statistics tunnel-id 112

  IPsec packet statistics:

    Received/sent packets: 0/195  //此处收计数为0,说明流量没有正常被sa处理

    Received/sent bytes: 0/21840

    Dropped packets (received/sent): 1028/0

 

    Dropped packets statistics

      No available SA: 0

      Wrong SA: 0

      Invalid length: 0

      Authentication failure: 0

      Encapsulation failure: 0

      Decapsulation failure: 0

      Replayed packets: 1028 //该计数异常,表示总部设备判断报文为重放包,会丢弃

      ACL check failure: 0

      MTU check failure: 0

      Loopback limit exceeded: 0

      Crypto speed limit exceeded: 0

[center]dis ipsec statistics tunnel-id 112

  IPsec packet statistics:

    Received/sent packets: 0/196

    Received/sent bytes: 0/21952

    Dropped packets (received/sent): 1123/0

 

    Dropped packets statistics

      No available SA: 0

      Wrong SA: 0

      Invalid length: 0

      Authentication failure: 0

      Encapsulation failure: 0

      Decapsulation failure: 0

      Replayed packets: 1123  //连续两次查看,重放报文统计有增长,增长数量与分支ping出的报文数量基本一致,可以判断是该功能导致不通。

      ACL check failure: 0

      MTU check failure: 0

      Loopback limit exceeded: 0

      Crypto speed limit exceeded: 0

MSR设备的ipsec抗重放功能默认开启。一般出现此类计数是因为设备收到ipsec报文后,根据报文ID判断报文是重放包,设备认为解析此类报文无实际意义且占用性能,因此丢弃。出现此类报文可能与发包设备封装ID行为、中间设备NAT修改报文头行为、报文因线路拥塞等原因收发乱序等相关。可以undo ipsec anti-replay check手动关闭抗重放检测。

3. 如第二步双向检查发现某方向无收包,且没有错误计数,一般需要按照丢包问题继续分析。常用丢包问题定位手段为流量统计和抓包。对MSR设备可以匹配esp协议号50进行流量统计,存在背景流量的情况下流统比较困难。端口镜像无法根据加密后报文判断原始报文特征,可以尝试ping特定长度报文作为特征辅助筛选。本案例不对流统和抓包具体条件做描述。

解决方法

关闭ipsec抗重放检测解决。       undo ipsec anti-replay check

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
网站相关
关于我们
服务条款
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
知了APP下载
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2024新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作