知

MSR2600-17 DVPN建立不成功的问题

2023-12-13 发表

0关注
0收藏 303浏览

罗梦恺

罗梦恺七段

粉丝：1人关注：4人

组网及说明

Msr（v5）spoke—运营商NAT-- HUB（v5）Msr

问题描述

两边都是v5版本的msr对接dvpn，spoke-hub的模型。hub侧也做vam server，目前hub侧和多个分支都建立了隧道，业务正常。但是一个spoke 注册成功，ipsec隧道建立，但是dvpn session状态为dumb，异常分支和其余分支不同点是该分支是拨号拿的地址，设备流量出去在运营商侧要做nat。两边deb dvpn all看分支侧确认发出去报文，ipsec计数只有出方向，没有入方向。总部侧的deb dvpn all 看没收到分支的vdpn session协商报文。怀疑是可能中间丢了对应的报文。

分支：

interface GigabitEthernet0/1

port link-mode route

pppoe-client dial-bundle-number 1

interface Tunnel0

ip address 10.96.0.xx 255.255.255.0

tcp mss 1000

tunnel-protocol dvpn gre

source Dialer1

ipsec profile waixie

vam client waixie

vam client name waixie

client enable

server primary ip-address 115.236.34.xxx

vpn waixie

pre-shared-key cipher $c$3$0bw3cdVDVyDkbhZgN7qUpSwWrpVirKrRHM/b

vam client name wxudp

client enable

server primary ip-address 115.236.34.xxx

vpn wxudp

pre-shared-key cipher $c$3$EUSe16LXayAs5b26sGZ4JUArpJGEWZLTzw==

总部

interface GigabitEthernet0/1

port link-mode route

description TO dianxin

ip address 115.236.34.xxx 255.255.255.248

vam server ip 115.236.34.xxx

vam server vpn waixie

server enable

authentication-method none

pre-shared-key cipher $c$3$nexET6EaGWtVvFs9b2eiUeZeqwJrK742RkXv

hub private-ip 10.96.0.x

vam client name waixie.hub

client enable

server primary ip-address 115.236.34.xxx

vpn waixie

pre-shared-key cipher $c$3$0XZczNhywOjP/1et0rOItnL8o1Bqd49kgVLK

interface Tunnel0

description TO waixie-dvpn

ip address 10.96.0.x 255.255.255.0

tunnel-protocol dvpn gre

source GigabitEthernet0/1

ipsec profile waixie

vam client waixie.hub

过程分析

基于现场的故障现象怀疑

1、ipsec封装后的spoke vdpn协商报文未到hub侧

2、或者流量到了hub侧后，hub侧在ipsec解开封装前未正常识别报文丢弃

上述两个推论都是报文在ipsec封装后因为链路或者hub设备不识别导致丢弃。现场组网spoke侧发出的ipsec报文是需要穿越nat的，查看两边对应的ipsec sa信息发现 UDP encapsulation used for NAT traversal: N，也就是说两侧ipsec协商的时候未识别一端设备在nat后面。

确认v5的设备ipsec nat穿越缺省未使能，手册有如下要求：

在IPsec/IKE组建的VPN隧道中，若存在NAT安全网关设备，则必须配置IPsec/IKE的NAT穿越功能，另外v5设备在传输模式的情况下配置nat穿越ipsec无法建立，需要同时修改成隧道模式。

解决方法

两侧设备都配置nat traversal，配置隧道模式encapsulation-mode tunnel

该案例对您是否有帮助：

您的评价：1

若您有关于案例的建议，请反馈：

0 个评论

该案例暂时没有网友评论

编辑评论

侵犯我的权益 >

对根叔知了社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

✖

案例意见反馈

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 知了APP下载; 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

MSR2600-17 DVPN建立不成功的问题

组网及说明

问题描述

过程分析

解决方法

编辑评论

提出建议