Msr(v5)spoke—运营商NAT-- HUB(v5)Msr
两边都是v5版本的msr对接dvpn,spoke-hub的模型。hub侧也做vam server,目前hub侧和多个分支都建立了隧道,业务正常。但是一个spoke 注册成功,ipsec隧道建立,但是dvpn session状态为dumb,异常分支和其余分支不同点是该分支是拨号拿的地址,设备流量出去在运营商侧要做nat。两边deb dvpn all看分支侧确认发出去报文,ipsec计数只有出方向,没有入方向。总部侧的deb dvpn all 看没收到分支的vdpn session协商报文。怀疑是可能中间丢了对应的报文。
分支:
#
interface GigabitEthernet0/1
port link-mode route
pppoe-client dial-bundle-number 1
#
interface Tunnel0
ip address 10.96.0.xx 255.255.255.0
tcp mss 1000
tunnel-protocol dvpn gre
source Dialer1
ipsec profile waixie
vam client waixie
#
vam client name waixie
client enable
server primary ip-address 115.236.34.xxx
vpn waixie
pre-shared-key cipher $c$3$0bw3cdVDVyDkbhZgN7qUpSwWrpVirKrRHM/b
#
vam client name wxudp
client enable
server primary ip-address 115.236.34.xxx
vpn wxudp
pre-shared-key cipher $c$3$EUSe16LXayAs5b26sGZ4JUArpJGEWZLTzw==
总部
#
interface GigabitEthernet0/1
port link-mode route
description TO dianxin
ip address 115.236.34.xxx 255.255.255.248
#
vam server ip 115.236.34.xxx
#
vam server vpn waixie
server enable
authentication-method none
pre-shared-key cipher $c$3$nexET6EaGWtVvFs9b2eiUeZeqwJrK742RkXv
hub private-ip 10.96.0.x
#
vam client name waixie.hub
client enable
server primary ip-address 115.236.34.xxx
vpn waixie
pre-shared-key cipher $c$3$0XZczNhywOjP/1et0rOItnL8o1Bqd49kgVLK
#
interface Tunnel0
description TO waixie-dvpn
ip address 10.96.0.x 255.255.255.0
tunnel-protocol dvpn gre
source GigabitEthernet0/1
ipsec profile waixie
vam client waixie.hub
基于现场的故障现象怀疑
1、ipsec封装后的spoke vdpn协商报文未到hub侧
2、或者流量到了hub侧后,hub侧在ipsec解开封装前未正常识别报文丢弃
上述两个推论都是报文在ipsec封装后因为链路或者hub设备不识别导致丢弃。现场组网spoke侧发出的ipsec报文是需要穿越nat的,查看两边对应的ipsec sa信息发现 UDP encapsulation used for NAT traversal: N,也就是说两侧ipsec协商的时候未识别一端设备在nat后面。
确认v5的设备ipsec nat穿越缺省未使能,手册有如下要求:
在IPsec/IKE组建的VPN隧道中,若存在NAT安全网关设备,则必须配置IPsec/IKE的NAT穿越功能,另外v5设备在传输模式的情况下配置nat穿越ipsec无法建立,需要同时修改成隧道模式。
两侧设备都配置nat traversal,配置隧道模式encapsulation-mode tunnel
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作