本文详细介绍了IPSec ×××不通时的故障处理方法,包括现象描述、可能原因及处理步骤,如流量未匹配ACL规则、两端设备配置不一致、预共享密钥错误、NAT穿越功能未启用等问题的排查与解决。
IPSec ×××不通
介绍了IPSec ×××不通时的故障处理方法。
现象描述
如图1所示,管理员希望在NGFW_A和NGFW_B之间建立IKE方式的IPSec隧道,使网络A和网络B的用户可以通过IPSec隧道互相访问。
图1 IPSec ×××不通组网图 
配置完成后,发现网络A和网络B的用户不能相互访问。
可能原因
流量未匹配ACL规则
两端设备的IKE安全提议配置不一致
两端设备的IKE版本不同
对端IP地址或对端域名配置错误
两端设备的预共享密钥配置不一致
未启用NAT穿越功能
两端设备的IPSec安全提议配置不一致
两端设备的PFS功能配置不一致
IPSec安全策略顺序号配置错误
IPSec安全策略应用在错误的接口上
SA超时时间配置过小
路由配置错误
安全策略配置错误
NAT策略配置错误
没有清除旧的或已经存在的SA(安全联盟)
处理步骤
流量未匹配ACL规则
执行命令display acl acl-number,查看流量是否匹配了IPSec的ACL规则。
[NGFW_A] display acl 3010 Advanced ACL 3010, 1 rule Acl's step is 5 rule 5 permit ip source 10.1.0.0 0.0.255.255 destination 10.2.0.0 0.0.255.255 (0 times matched)
如上信息所示,命中次数为0表示流量没有命中IPSec的ACL规则,不会触发建立IPSec隧道。这时要检查源地址和目的地址是不是符合实际数据流的信息。
建议IPSec隧道两端配置的ACL规则互为镜像。配置为镜像不是必要条件,不过实际应用中配置成镜像更简单也不易出错,如下所示。
NGFW_A的ACL规则:
# acl number 3010 rule 5 permit ip source 10.1.1.0 0.255.255.255 destination 10.2.1.0 0.255.255.255
NGFW_B的ACL规则:
# acl number 3010 rule 5 permit ip source 10.1.2.0 0.255.255.255 destination 10.1.1.0 0.255.255.255
两端设备的IKE安全提议配置不一致
分别在NGFW_A和NGFW_B上执行命令display ike proposal,查看两台设备的IKE安全提议配置是否一致,包括加密算法(authentication algorithm)、认证算法(encryption algorithm)和DH组标识(Diffie-Hellman group)等。
[NGFW_A] display ike proposal priority authentication authentication encryption Diffie-Hellman duration method algorithm algorithm group (seconds) --------------------------------------------------------------------------- 10 PRE_SHARED SHA2-256 AES MODP_1024 86400 default PRE_SHARED SHA2-512 256-AES MODP_1024 86400
如果两台设备的IKE安全提议配置不一致,可以执行以下命令将不一致的参数配置一致。
对端IP地址或对端域名配置错误
分别在NGFW_A和NGFW_B上执行命令display ike peer [ brief [ ipv6 ] | name peer-name ],查看对端IP地址是否配置正确。
[NGFW_A] display ike peer name a--------------------------- IKE peer: a Exchange mode: main on phase 1 Pre-shared key: %$%$%8vDH)RfuV)P\g7NMA4I6g^U%$%$ Local certificate file name: Peer certificate file name: Proposal: Local ID type: IP Local ID: Remote IP: 2.2.2.2 ××× instance: root Authentic IP address: IP address pool: User table: 1 Remote ID type: IP Peer name: Peer domain name: Eap-auth domain: ××× instance bound to the SA: root NAT traversal: disable SA soft timeout buffer time: IKEv1 bind Phase1-Phase2 SA: enable ---------------------------
Peer IP address的地址必须与对端发起IKE协商的地址,即发起协商的接口地址或local-address指定的地址相同。Peer IP address的地址需要执行remote-address进行配置。
两端设备的预共享密钥配置不一致
管理员需要确保IPSec ×××隧道两端的设备输入的预共享密钥一致。
输入预共享密钥错误会导致IPSec ×××隧道不能正常建立。在NGFW上输入预共享密钥后,密钥会以密文的形式显示,这就使管理员无法判断密钥是否输入正确。
因此当IPSec ×××隧道无法建立时,重新输入预共享密钥以确保其正确是一个常见的故障解决方法。
未启用NAT穿越功能
分别在NGFW_A和NGFW_B上执行命令display ike peer [ brief [ ipv6 ] | name peer-name ],查看NAT穿越功能是否启用。
[NGFW_A] display ike peer name a--------------------------- IKE peer: a Exchange mode: main on phase 1 Pre-shared key: %$%$%8vDH)RfuV)P\g7NMA4I6g^U%$%$ Local certificate file name: Peer certificate file name: Proposal: Local ID type: IP Local ID: Remote IP: 2.2.2.2 ××× instance: root Authentic IP address:
最低0.47元/天 解锁文章
扫一扫
4343
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
