无
由于业务扩容,客户新购买了一台ACG1000的安全审计设备,需要和总部的F100-C-G2设备建立IPSEC VPN,但是设备配置完毕后,IPSEC VPN只能建立起来第一阶段,第二阶段无法建立成功,VPN业务不通。
1.检查防火墙和ACG1000设备的配置没有问题,ACG100侧显示的本地地址为X.X.105.180,在防火墙侧查看第一阶段IKE SA的信息显示为X.X.22.39,两者IP地址不一致,ACG1000侧运营商又做了一次NAT。
[F100-C-G2]display ike sa
Connection-ID Remote Flag DOI
------------------------------------------------------------------
1 X.X.22.39 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING RK-REKEY
2.第一阶段已经建立成功了,但是第二阶段建立不起来,在ACG1000侧显示连接中,可以在防火墙上查看会话确认下报文交互的情况:
Slot 1:
Initiator:
Source IP/port: X.X.249.4/4500
Destination IP/port: X.X.99.118/4500
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: GigabitEthernet1/0/10
Source security zone: Untrust
Responder:
Source IP/port: X.X.99.118/4500
Destination IP/port: X.X.249.4/4500
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: InLoopBack0
Source security zone: Local
State: UDP_OPEN
Application: GENERAL_UDP
Start time: 2019-06-28 23:00:45 TTL: 26s
Initiator->Responder: 166 packets 19011 bytes
Responder->Initiator: 0 packets 0 bytes
Initiator:
Source IP/port: X.X.99.118/4500
Destination IP/port: X.X.22.39/4500
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: InLoopBack0
Source security zone: Local
Responder:
Source IP/port: X.X.22.39/4500
Destination IP/port: X.X.99.118/4500
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: GigabitEthernet1/0/10
Source security zone: Untrust
State: UDP_OPEN
Application: GENERAL_UDP
Start time: 2019-06-29 02:55:16 TTL: 26s
Initiator->Responder: 100 packets 20992 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
查看源端口为4500的会话建立了两条,并且两个会话的源IP地址是不一样的。针对两条会话进行分析:
第一条会话发起方地址为X.X.249.4,响应方地址为X.X.99.118,响应方为F100防火墙,报文统计只有发起方到响应方的,并且发起方的IP地址与第一阶段IKE SA的IP地址不匹配。
第二条会话是防火墙作为发起方,地址为X.X.99.118;对端设备为响应方,地址为X.X.22.39,报文统计只有发起方到响应方的,该会话的地址与第一阶段IKE SA内的对端IP地址是匹配的。
初步怀疑现场的问题如下:
ACG1000发送第二阶段的协商报文给防火墙,由于ACG1000上行还有NAT设备,第二阶段协商的报文NAT后的源地址与第一阶段协商时NAT候的源地址不一致,报文到了防火墙上创建了第一条会话;由于该会话的地址与IKE SA内的对端IP地址不一致,所以防火墙不会进行回包,而是另外新建了第二条会话,与对端进行第二阶段的协商。由于对端运营商不存在NAT表项,导致ACG1000无法收到防火墙发送过去的报文,导致第二阶段建立失败。
3.在防火墙上多次reset ike sa及reset ipsec sa重新触发建立IPSEC VPN,查看到的会话都是一致的。
联系ACG1000侧运营商修改设备NAT后VPN建立正常。