• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
案例类型
搜索
取消
产品线
关键字
发布者
发布时间

F100-C-G2与ACG1000建立IPSEC VPN不成功的解决办法

2019-07-31发表
  • 0关注
  • 0收藏,186浏览
0

组网及说明

问题描述

由于业务扩容,客户新购买了一台ACG1000的安全审计设备,需要和总部的F100-C-G2设备建立IPSEC VPN,但是设备配置完毕后,IPSEC VPN只能建立起来第一阶段,第二阶段无法建立成功,VPN业务不通。


过程分析

1.检查防火墙和ACG1000设备的配置没有问题,ACG100侧显示的本地地址为X.X.105.180,在防火墙侧查看第一阶段IKE SA的信息显示为X.X.22.39,两者IP地址不一致,ACG1000侧运营商又做了一次NAT

[F100-C-G2]display ike sa

    Connection-ID   Remote                Flag         DOI   

------------------------------------------------------------------

    1               X.X.22.39         RD           IPsec 

Flags:

RD--READY RL--REPLACED FD-FADING RK-REKEY

2.第一阶段已经建立成功了,但是第二阶段建立不起来,在ACG1000侧显示连接中,可以在防火墙上查看会话确认下报文交互的情况:

display session table ipv4 source-port 4500 verbose

Slot 1:

Initiator:

  Source      IP/port: X.X.249.4/4500

  Destination IP/port: X.X.99.118/4500

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: UDP(17)

  Inbound interface: GigabitEthernet1/0/10

  Source security zone: Untrust

Responder:

  Source      IP/port: X.X.99.118/4500

  Destination IP/port: X.X.249.4/4500

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: UDP(17)

  Inbound interface: InLoopBack0

  Source security zone: Local

State: UDP_OPEN

Application: GENERAL_UDP

Start time: 2019-06-28 23:00:45  TTL: 26s

Initiator->Responder:          166 packets      19011 bytes

Responder->Initiator:            0 packets          0 bytes

 

Initiator:    

  Source      IP/port: X.X.99.118/4500

  Destination IP/port: X.X.22.39/4500

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: UDP(17)

  Inbound interface: InLoopBack0

  Source security zone: Local

Responder:

  Source      IP/port: X.X.22.39/4500

  Destination IP/port: X.X.99.118/4500

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: UDP(17)

  Inbound interface: GigabitEthernet1/0/10

  Source security zone: Untrust

State: UDP_OPEN

Application: GENERAL_UDP

Start time: 2019-06-29 02:55:16  TTL: 26s

Initiator->Responder:          100 packets      20992 bytes

Responder->Initiator:            0 packets          0 bytes

Total sessions found: 2

查看源端口为4500的会话建立了两条,并且两个会话的源IP地址是不一样的。针对两条会话进行分析:

第一条会话发起方地址为X.X.249.4,响应方地址为X.X.99.118,响应方为F100防火墙,报文统计只有发起方到响应方的,并且发起方的IP地址与第一阶段IKE SAIP地址不匹配。

第二条会话是防火墙作为发起方,地址为X.X.99.118;对端设备为响应方,地址为X.X.22.39,报文统计只有发起方到响应方的,该会话的地址与第一阶段IKE SA内的对端IP地址是匹配的。

初步怀疑现场的问题如下:

ACG1000发送第二阶段的协商报文给防火墙,由于ACG1000上行还有NAT设备,第二阶段协商的报文NAT后的源地址与第一阶段协商时NAT候的源地址不一致,报文到了防火墙上创建了第一条会话;由于该会话的地址与IKE SA内的对端IP地址不一致,所以防火墙不会进行回包,而是另外新建了第二条会话,与对端进行第二阶段的协商。由于对端运营商不存在NAT表项,导致ACG1000无法收到防火墙发送过去的报文,导致第二阶段建立失败。

3.在防火墙上多次reset ike sareset ipsec sa重新触发建立IPSEC VPN,查看到的会话都是一致的。   

解决方法

联系ACG1000侧运营商修改设备NATVPN建立正常。   


0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作