两台华为防火墙IPsec连接不稳定原因之一的解决方式

最新推荐文章于 2024-11-05 15:52:25 发布
最新推荐文章于 2024-11-05 15:52:25 发布
阅读量4.3k 收藏 3
点赞数
分类专栏: 网络工程 文章标签: 华为 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq453198/article/details/122229390
版权

背景:

FW1有多条互联网线路接入,固定ip地址线路仅1条,已配置策略路由。
FW2仅1条固定ip线路。
FW1和FW2初次部署,ipsec匹配成功,但是网络访问不稳定,会时不时的断开。

解决方案:

经检查,发现是ipsec会时不时的断开,造成网络访问不稳定。ipsec诊断为第一阶段协商超时…

查看FW1和FW2的会话,以对端的固定IP地址为目标地址进行查询,发现FW1的会话显示:源区域是untrust2 ,但是源固定ip地址的接口安全区域为untrust。FW2的会话查询结果显示暂无异常。
FW1的源安全区域出口异常的解决方式(下班后进行,此防火墙与业务不相干):

1、停用ipsec,查看会话中匹配的安全策略,进行停止;
#查看会话表显示,仍然异常。
2、禁用安全策略中trust与untrust2安全区域相关的策略;
#查看会话表显示,仍然异常。
3、检查NAT策略、清理ipsec内网网段的策略路由;
#查看会话表显示,仍然异常。
4、新增一条静态路由——到FW2的公网固定ip地址。
#查看会话表显示,发现出口安全区域正常。

总结

防火墙多出口时,源区域异常导致配置ipsec连接不稳定解决方案是

新增一条静态路由强行指定出口和目标ip地址
或许1、2、3的步骤仍然是解决此问题的前提条件。
防火墙两台设备对接,隧道成功建立后,总部子网pc不能ping通分部子网,怎么排查解决
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
09-26 520
总部深信服防火墙8.0.75分部深信服防火墙8.0.75。
防火墙IPSec VPN(预共享密钥-多子网)
weixin_44080599的博客
06-01 1293
奇安信防火墙 IPSEC VPN 详解
服务经过多条ipsec链路出现不稳定问题
complay_ly的博客
03-27 2351
最近发现,有些服务经常会出现服务丢包、无法传送大文件、服务不稳定等问题。基础网络很稳定,没有发现问题。服务本身在小内网测试也很稳定。经过排查,怀疑可能是中间链路经过了多条IPsecVPN导致报文过长,拆分报文后组合过程出了问题 解决方法,IPsecVPN设备在接口模式下:clear ip df 关闭报文分片 ...
华为_安全】防火墙IPsec双机实验
weixin_53337011的博客
12-08 3760
学习华为防火墙IPsec双机实验记录拓扑。
Huawei USG6330 ipsec 通信失败
qq_40604952的博客
06-19 246
又去策略里看了下命中次数,发现为 0 但是跟其它地方的通信正常,查看IPsec 发现失败,点一下排查错误,显示预共享密钥啥的错误,我就很奇怪,没改过没动过,怎么会变更,但是我还是改了一下,好了,我先登录中心网关看了下 IPsec 显示的协商状态成功 ,早上有个对端通信失败了,记录一下排错。这里我就觉的不是中心网关的问题;干活前记得备份配置,
华为防火墙 IPSecVP* 排错命令
一直被模仿,从未被超越
02-03 1814
4、清除特定对端的ike sa信息,让链接重新建立。8、查看IKE协商建立的IPSec隧道被删除的信息。9、查看 IP 是从哪个接口出去的。6、查看 指定目地地址 会话。2、查看 ipsec 连接。1、查看 ike 连接。3、显示 ike 错误。5、查看 ike 会话。
华为防火墙虚拟系统+IPsec VPN案例
最新发布
qq_45024159的博客
11-05 1409
总部:部署了一台防火墙,想要通过一台防火墙即能在保证内网的数据安全的情况下与分部的内部通信,还要求外网的业务也经过防火墙进行转发(通过防火墙虚拟系统+IPsec VPN方式),分部:对安全性没有要求,使得内网设备不仅可以访问总部,还可以访问互联网络。小智公司有上海总部与广州分部两个办公地点。1.总部内网设备与分部可以实现互访。2.总部外网设备可以访问外网服务器。3.分部设备可以访问外网服务器。网络规划:拓扑图已标注。
华为防火墙IPSEC虚拟专网基本配置
07-16 2593
本文介绍一下华为防火墙IPSEC 虚拟专网的配置方法,本范文内没有计划NAT相关事项。配置步骤:一、 配置接口二、 配置安全区域三、 配置安全策略四、 配置静态路由五、配置IPSEC1. ike proposal2. ike peer3. ipsec proposal4. ACL5. ipsec policy#调用ACL、IPSEC Proposal、ike peer6. ...
华为防火墙综合案例(IPSec、SSL、NAT、ACL、安全防护)
zz12345600354的博客
05-21 1310
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。[Y/N]: y #同意修改密码。Please enter new password:p-0p-0p-0 #新密码。Please enter new password:p-0p-0p-0 #新密码。Please enter new password:p-0p-0p-0 #新密码。
华为防火墙部署 l2tp over ipsec
jcjczjc的博客
01-26 2563
一般手机不能很好支持ssl vpn 和EAP认证, 客户需要部署L2TP OVER IPSEC 配置: interface Virtual-Template1 ppp authentication-mode chap ip address 172.16.19.1 255.255.255.0 firewall zone untrust set priority 5 add interface Dialer0 add interface Virtual-Template1 l2tp enab
防火墙ipsec连接成功,两端内网却不通?故障原因竟是数字问题
m0_57121953的博客
07-30 2485
随着经济与网络的发展,异地办公在现在这个年代几乎是刚需了,本文主要讲解防火墙ipsec vpn连接的配置,以及配置完成后,两地内网不能互访的排查案例。先看拓扑图吧,总部和分公司两地都采用华为防火墙作为网关设备。配置要求:1、两端通过各自的互联网链路上网;2、在两端的防火墙上配置ipsec vpn,使两地内网得以互访;配置上网的步骤:1、配置内外网各接口IP外网接口的安全区域为untrust,根据运...
华为防火墙IPSec xxx技术
weixin_45123715的博客
08-24 1425
具体的IPSec技术原理请参照专栏中IPSec的文章,这里是关于IPSec防火墙上的应用 实验: 拓扑图: FW1配置trust-untrust策略:
Fortigate疑难杂症之 - IPSec传输大文件中断/其他异常中断
RaySun的技术Blog
08-03 1721
IPSec两端的防火墙设备的IKE端口更改为非默认端口将IPSec两端的协商模式由主动模式改为野蛮模式。
IPSec VPN自动断开的问题
pocher的博客
12-18 3595
需要检查下DPD检测有没有开启,如果没有开启超过链接生存周期后就会自动断开,DPD检测相当于Keepalive机制。
cisco 双ISP线路接入 链路自动切换方案
weixin_34150830的博客
08-02 376
最近接到的一个项目,客户总部在惠州,分部在香港,在香港分部设有ERP服务器与邮件服务器,总部出口为铁通10M光纤与网通1M DDN 专线(新增),原总部是用netscreen 防火墙与香港的pix 515作IPsec ×××对接,现客户要求是新增一条网通DDN专线用来专跑ERP数据业务,就是要求平时总部去分部访问ERP服务器的数据走DDN专线,访问邮件服务器的数据走ipsec...
Ipsec ikev1的坑
willwillwang的博客
12-30 397
当时建完了是很稳定的,跑了大约几个月的时间,后来因为一次变更变得不稳定了。
ORA-03135 防火墙超时设置断开db link 连接
dgn7151的博客
09-23 897
【现象】 应用使用数据库连接池,访问A库时通过dblink查询B库,应用时不时会报错ORA-02068和ORA-03135。 【过程还原】 当应用获取了一个数据库连接,并在数据库连接中使用了dblink,如果应用到A库的连接不释放,则A库到B库的dblink 连接也不释放;当A库到B库的dblink连接由于长时间无数据被防火墙设备断开后,如果应用再次从连接池...
【隧道篇 / IPsec】(5.6) ❀ 06. 多条 IPsec 冗余 ❀ FortiGate 防火墙
防火墙技术专栏
09-03 5785
【简介】当多个分部连接总部的时候,我们可以使用点对多的IPsec VPN,但是缺点就是,如果总部的这条宽带临时出现问题,所有的VPN将会断开,严重影响业务,解决的办法就是用二条宽带做冗余IPsec VPN,这样一条宽带出现故障,另一条宽带的VPN还是可以正常使用。 冗余 VPN 问题 我们在做点对多IPsec VPN的时候知道,总部是不用建立返程路由的,都......
公网ip经常变动的解决方法
热门推荐
王加伦的技术分享
08-11 2万+
解决公网ip经常变动 问题 ​ 家里申请了电信的公网ip, 但是如果停电或者重新拨号都会导致这个ip变更.很多配置好的应用都需要重新配置ip地址太麻烦了 思考 现成的产品类似花生壳这些内网穿透都要收费或者限速, 我已有公网ip感觉不划算 想到了域名配置dns解析, 应用里面都配置域名代替ip地址.每次ip变了我只需要去改一下域名的dns解析就可以了 但是还会有问题, 每次都需要手动改一下, 并且还必须得连上家里网才能知道最新的公网ip 查了阿里云/腾讯云/华为云等等dns解析都对外提供了api文
华为防火墙ipsec对接华三防火墙
11-01
华为防火墙与华三防火墙之间的IPSec对接,是指通过IPSec协议实现两个防火墙之间的安全通信和数据传输。下面是一个简单的说明步骤: 1. 配置华为防火墙:首先,在华为防火墙上配置与华三防火墙对接的IPSec通道。配置包括选择合适的IPSec策略、安全参数和加密算法等,确保与对端的配置一致。 2. 配置华三防火墙:在华三防火墙上同样配置与华为防火墙对接的IPSec通道,确保配置参数与华为防火墙相匹配。 3. 建立IPSec连接:在配置完成后,华为防火墙和华三防火墙会自动尝试建立IPSec连接。在此过程中,会进行握手协商、密钥交换等安全认证步骤,确保连接的安全性。 4. 验证连接:在建立连接后,需要验证IPSec连接是否成功。可以通过查看连接状态、查看日志等方式进行验证。 5. 配置安全策略和访问控制:建立了IPSec连接后,可以根据实际需求配置安全策略和访问控制,确保通过该连接的数据传输符合安全要求。 需要注意的是,IPSec连接的建立需要确保两端的配置一致,包括加密算法、认证方法、密钥长度等,否则将无法建立可靠的连接。同时,还需要保证防火墙的固件版本和硬件性能满足IPSec对接的要求。 通过IPSec对接,华为防火墙和华三防火墙可以实现安全可靠的通信和数据传输,提高网络的安全性和稳定性,确保企业的信息安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值