F100-C-G2与ACG1000建立IPSEC VPN不成功的解决办法

无

由于业务扩容，客户新购买了一台ACG1000的安全审计设备，需要和总部的F100-C-G2设备建立IPSEC VPN，但是设备配置完毕后，IPSEC VPN只能建立起来第一阶段，第二阶段无法建立成功，VPN业务不通。

1.检查防火墙和ACG1000设备的配置没有问题，ACG100侧显示的本地地址为X.X.105.180，在防火墙侧查看第一阶段IKE SA的信息显示为X.X.22.39，两者IP地址不一致，ACG1000侧运营商又做了一次NAT。

[F100-C-G2]display ike sa

    Connection-ID   Remote                Flag         DOI   

------------------------------------------------------------------

    1               X.X.22.39         RD           IPsec 

Flags:

RD--READY RL--REPLACED FD-FADING RK-REKEY

2.第一阶段已经建立成功了，但是第二阶段建立不起来，在ACG1000侧显示连接中，可以在防火墙上查看会话确认下报文交互的情况：

display session table ipv4 source-port 4500 verbose

Slot 1:

Initiator:

  Source      IP/port: X.X.249.4/4500

  Destination IP/port: X.X.99.118/4500

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: UDP(17)

  Inbound interface: GigabitEthernet1/0/10

  Source security zone: Untrust

Responder:

  Source      IP/port: X.X.99.118/4500

  Destination IP/port: X.X.249.4/4500

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: UDP(17)

  Inbound interface: InLoopBack0

  Source security zone: Local

State: UDP_OPEN

Application: GENERAL_UDP

Start time: 2019-06-28 23:00:45  TTL: 26s

Initiator->Responder:          166 packets      19011 bytes

Responder->Initiator:            0 packets          0 bytes

Initiator:    

  Source      IP/port: X.X.99.118/4500

  Destination IP/port: X.X.22.39/4500

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: UDP(17)

  Inbound interface: InLoopBack0

  Source security zone: Local

Responder:

  Source      IP/port: X.X.22.39/4500

  Destination IP/port: X.X.99.118/4500

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: UDP(17)

  Inbound interface: GigabitEthernet1/0/10

  Source security zone: Untrust

State: UDP_OPEN

Application: GENERAL_UDP

Start time: 2019-06-29 02:55:16  TTL: 26s

Initiator->Responder:          100 packets      20992 bytes

Responder->Initiator:            0 packets          0 bytes

Total sessions found: 2

查看源端口为4500的会话建立了两条，并且两个会话的源IP地址是不一样的。针对两条会话进行分析：

第一条会话发起方地址为X.X.249.4，响应方地址为X.X.99.118，响应方为F100防火墙，报文统计只有发起方到响应方的，并且发起方的IP地址与第一阶段IKE SA的IP地址不匹配。

第二条会话是防火墙作为发起方，地址为X.X.99.118；对端设备为响应方，地址为X.X.22.39，报文统计只有发起方到响应方的，该会话的地址与第一阶段IKE SA内的对端IP地址是匹配的。

初步怀疑现场的问题如下：

ACG1000发送第二阶段的协商报文给防火墙，由于ACG1000上行还有NAT设备，第二阶段协商的报文NAT后的源地址与第一阶段协商时NAT候的源地址不一致，报文到了防火墙上创建了第一条会话；由于该会话的地址与IKE SA内的对端IP地址不一致，所以防火墙不会进行回包，而是另外新建了第二条会话，与对端进行第二阶段的协商。由于对端运营商不存在NAT表项，导致ACG1000无法收到防火墙发送过去的报文，导致第二阶段建立失败。

3.在防火墙上多次reset ike sa及reset ipsec sa重新触发建立IPSEC VPN，查看到的会话都是一致的。   

联系ACG1000侧运营商修改设备NAT后VPN建立正常。