ipsec隧道無法建立排查步驟

原創 liuzhuqing 2019-10-30 13:04

一、檢查公網是否可達

操作步驟

1.執行命令行display current-configuration interface GigabitEthernet 1/0/1 ,檢查接口是否允許ping訪問。

[HUAWEI] display current-configuration interface GigabitEthernet 1/0/1
interface GigabitEthernet1/0/1
ip address 117.78.X.X 255.255.255.192
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage telnet permit
ipsec policy ipsec2352146053

2.在隧道兩端進行ping測試。執行命令ping 117.78.X.X檢查能否ping通。

[HUAWEI] ping 117.78.X.X
PING 117.78.X.X: 56 data bytes, press CTRL_C to break
Reply from 117.78.X.X: bytes=56 Sequence=1 ttl=255 time=3 ms
Reply from 117.78.X.X: bytes=56 Sequence=2 ttl=255 time=3 ms
Reply from 117.78.X.X: bytes=56 Sequence=3 ttl=255 time=3 ms
Reply from 117.78.X.X: bytes=56 Sequence=4 ttl=255 time=3 ms
Reply from 117.78.X.X: bytes=56 Sequence=5 ttl=255 time=3 ms
--- 117.78.X.X ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss

  1. round-trip min/avg/max = 3/3/3 ms

二、查看IKE SA是否存在

操作步驟

1.執行命令display ike sa檢查IKE SA是否協商成功。

[HUAWEI] display ike sa
IKE SA information :
Conn-ID Peer V.P.N Flag(s) Phase

----------------------------------------------------------------------------------------------

117440971 11.2.23.1:500 RD|S v1:1 //IKEv1 第一階段協商
150995463 11.1.121.1:500 RD|ST|S v1:2 //IKEv1 第二階段協商
Number of IKE SA : 2

----------------------------------------------------------------------------------------------

Flag Description:
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP M--ACTIVE S--STANDBY A--ALONE NEG--NEGOTIATING

如果IKE SA的狀態是RD狀態,表示IKE協商成功,則查看步驟3。
如果IKE SA沒有或者狀態不正確,則繼續按照下面的步驟排查。

2.檢查出接口是否配置了ipsec策略,如果沒有配置,則不會發起協商。

執行命令display current-configuration interface檢查接口是否應用了ipsec策略

[HUAWEI] display current-configuration interface
interface GigabitEthernet1/0/1
ip address 117.78.X.X 255.255.255.192
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage telnet permit
ipsec policy ipsec2352146053 //出口需要應用ipsec策略,如果沒有,請應用

3.檢查ike的安全策略(到自身的安全策略和從自身發送的安全策略)是否放行。

執行命令display firewall session table verbose destination-port global 500確認有沒有IKE的會話。

[HUAWEI] display firewall session table verbose destination-port global 500
Current Total Sessions : 1 General_UDP V.P.N:public --> public ID: a68f6683fb0101b01bc574eed08
Zone: untrust--> local TTL: 00:02:00 Left: 00:01:44
Recv Interface: GigabitEthernet1/0/2
Interface: GigabitEthernet1/0/1 NextHop: 0.0.0.0 MAC: 00-00-00-00-00-00
<--packets:10 bytes:4080 -->packets:20 bytes:8160
128.230.Y.Y:500-->117.78.X.X:500 PolicyName: sec_policy

如果存在會話,說明IKE的安全策略已經放行,否則需要單獨配置ike的安全策略,在沒有nat的場景下,放行UDP 500端口報文,在nat場景下需要放行UDP 500和4500 端口的報文。

[HUAWEI] ip service-set isakmp type object
[HUAWEI-object-service-set-isakmp] service 0 protocol udp destination-port 500
[HUAWEI-object-service-set-isakmp] service 1 protocol udp destination-port 4500
[HUAWEI] security-policy
[HUAWEI-policy-security] rule name isakmp
[HUAWEI-policy-security-isakmp] service isakmp
[HUAWEI-policy-security-isakmp] action permit

4.防火牆做源NAT時,檢查是否將IKE的報文排除。

執行display current-configuration configuration policy-nat命令檢查NAT策略是否將IKE報文排除。

<HUAWEI> display current-configuration configuration policy-nat nat-policy
rule name ipsec_nonat source-zone
local destination-zone untrust
source-address 117.78.X.X 32
destination-address 128.230.Y.Y 32
action no-nat

如果NAT策略沒有排除IKE報文,會導致本地發出的IKE協商數據也被NAT,端口出現變更導致第一階段無法協商。

 說明:

檢查NAT策略中,是否存在策略沒有指定源區域(不指定代表所有)。如果存在,請指定具體的源區域,從而排除local區域;或者新建指定local區域的策略,並調整其順序到最上面。

5.檢查ike proposal兩邊的參數配置是否一致。

執行命令display ike proposal檢查兩邊ike proposal參數是否一致。

[HUAWEI] display ike proposal
Number of IKE Proposals:1

IKE Proposal: 1
Authentication Method : PRE_SHARED
Authentication Algorithm : SHA2-256
Encryption Algorithm : AES-256
Diffie-Hellman Group : MODP-1024
SA Duration(Seconds) : 86400
Integrity Algorithm : HMAC-SHA2-256 // IKEv1不關心,IKEv2需要保持一致
Prf Algorithm : HMAC-SHA2-256 // IKEv1不關心,IKEv2需要保持一致

查看使用的ike proposal是否和對端配置的算法一致,如果不一致的話,進入到ike proposal試圖進行修改。修改方法如下:

[HUAWEI] ike proposal 1
[HUAWEI-ike-proposal-1] authentication-algorithm sha2-256 sha1 md5
[HUAWEI-ike-proposal-1] integrity-algorithm aes-xcbc-96 hmac-sha2-256 hmac-sha1-96 hmac-md5-96

6.對端V.P.N網關在nat設備後的場景下,如果使用ip認證則需要配置remote-address auth-address爲對端的接口地址。

[HUAWEI] ike peer 1
[HUAWEI-ike-peer-1] pre-shared-key %$%$rQZ4Fin'u#n@Fr!Au"J,R-$x%$%$
[HUAWEI-ike-peer-1] remote-address 117.78.x.y //映射前的公網地址
[HUAWEI-ike-peer-1] remote-address authentication-address 192.168.5.5 //映射後的私網地址

 說明:

配置修改後,執行reset ike sa 、reset ipsec sa命令重新發起協商,重置協商參數。

三、檢查IPSec SA是否存在

操作步驟

1.執行命令行display ipsec sa,檢測IPSec SA是否協商成功。

[HUAWEI] display ipsec sa ipsec sa
information:

Interface: GigabitEthernet1/0/1

IPSec policy name: "a1"
Sequence number : 5
Acl group : 3104
Acl rule : 1
Mode : ISAKMP

Connection ID : 117560206
Encapsulation mode: Tunnel
Tunnel local : 117.78.X.X
Tunnel remote : 128.230.Y.Y
Flow source : 100.1.4.1/255.255.255.255 0/0
Flow destination : 111.1.4.1/255.255.255.255 0/0

[Outbound ESP SAs]
SPI: 1401510577 (0x53895ab1)
Proposal: ESP-ENCRYPT-AES-256 ESP-AUTH-SHA2-256-128
SA remaining key duration (kilobytes/sec): 81528788/2953
Max sent sequence-number: 21184512
UDP encapsulation used for NAT traversal: N
SA encrypted packets (number/bytes): 0/0

[Inbound ESP SAs]
SPI: 3622191503 (0xd7e6418f)
Proposal: ESP-ENCRYPT-AES-256 ESP-AUTH-SHA2-256-128
SA remaining key duration (kilobytes/sec): 83886080/2953
Max received sequence-number: 1
UDP encapsulation used for NAT traversal: N
SA decrypted packets (number/bytes): 0/0
Anti-replay : Enable
Anti-replay window size: 1024

如果IPSec SA不存在,則檢查兩端的ipsec proposal配置。

2.執行命令display ipsec proposal檢查兩邊ipsec proposal參數是否一致。
**
[HUAWEI] display ipsec proposal
Number of proposals: 1
IPSec proposal name: prop23521460281
Encapsulation mode: Auto
Transform : esp-new
ESP protocol : Authentication SHA2-HMAC-256 Encryption AES-256

如果兩邊不一致,則進入ipsec proposal試圖,修改相關的算法。

[HUAWEI] ipsec proposal prop23521460281
[HUAWEI-ipsec-proposal-prop23521460281] encapsulation-mode auto
[HUAWEI-ipsec-proposal-prop23521460281] esp authentication-algorithm sha1

確認下兩邊是否都配置了pfs算法且算法一致。

3.執行命令display ipsec policy檢查兩邊pfs算法是否一致。

[HUAWEI] display ipsec policy
===========================================
IPSec policy group: "a10" Using interface: GigabitEthernet1/0/1 ===========================================
Sequence number: 1 Policy
Alias: a10-1 Security data flow: 3010
Peer name : ike23521460281
Perfect forward secrecy: None //是否配置了pfs算法,NONE代表沒有配置。
Tunnel local: binding-interface
Proposal name: prop23521460281
IPSec SA local duration(time based): 3600 seconds
IPSec SA local duration(traffic based): 83886080 kilobytes
SA trigger mode: Traffic-based
Route inject: None
Policy state: Enable
Anti-replay: -
Anti-replay window size: -
Fragment before-encryption: Disable
Respond-only: Disable
Policy status : Active
Smart-link profile: -
Smart-link using interface: -

如果需要配置,則進入ipsec策略試圖配置pfs算法。

[HUAWEI] ipsec policy 1 1 isakmp
[HUAWEI-ipsec-policy-1] pfs dh-group2

[HUAWEI]

檢查兩邊的ACL是否配置鏡像。

4.執行命令display acl xxx命令檢查兩邊ACL是否配置成鏡像。

[HUAWEI] ipsec policy1 1 isakmp
[HUAWEI-ipsec-policy-isakmp-1-1] display this
ipsec policy 1 1 isakmp
security acl 3010
ike-peer peer1
proposal 1
[HUAWEI] display acl 3010
Advanced ACL 3010, 1 rule,not binding with v.p.n-instance
Acl's step is 5
rule 5 permit ip source 100.1.4.1 0.0.0.255 destination 111.1.4.1 0.0.0.255 //源和目的是否和對端正好相反

四、收集信息並尋求技術支持

如果上述步驟未能解決問題,請先按如下步驟收集相關信息,然後尋求技術支持。

收集故障相關信息

1.收集上述步驟的操作結果,並記錄到文件中。
2.在用戶視圖下采集ike的debug信息。
<HUAWEI> debugging ike all //ikev1協商時蒐集的debug
<HUAWEI> debugging ikev2 all //ikev2協商時蒐集的debug
<HUAWEI> terminal moniter
<HUAWEI> terminal debugging

採集結束後執行undo debugging all命令。

3.一鍵式收集設備的所有診斷信息並導出文件。

a.在診斷視圖下,執行display diagnostic-information file-name命令,採集設備診斷信息並保存爲文件。

<HUAWEI> system-view
[HUAWEI] diagnose
[HUAWEI-diagnose] display diagnostic-information dia-info.txt
Now saving the diagnostic information to the device 100%
Info: The diagnostic information was saved to the device successfully

 說明:

生成的文本文件的缺省保存路徑爲flash:/,您可以在用戶視圖下使用dir命令可以確認文件是否正確生成。

b.當診斷信息文件生成之後,您可以通過FTP、SFTP等方式將其從設備上導出,詳細操作可參考文件系統。

 說明:

您也可以直接執行display diagnostic-information命令,並通過終端日誌存盤方式獲取設備診斷信息文件,詳細操作可參見設備診斷信息文件獲取指導。

4.收集設備的日誌和告警信息並導出文件。
a.在用戶視圖下,執行save logfile all命令,將緩衝區的日誌和告警信息保存爲文件。
<HUAWEI> save logfile all
Info: Save logfile successfully.
Info: Save diagnostic logfile successfully.
b.當日志信息文件生成之後,您可以通過FTP、SFTP等方式將其從設備上導出,詳細操作可參考文件系統。

 說明:

您也可以直接執行display logbuffer和display trapbuffer命令查看設備的日誌和告警信息,並通過終端日誌存盤方式獲取日誌和告警信息文件,操作方法與設備診斷信息文件的獲取方式相同,可參見設備診斷信息文件獲取指導。

5.對端設備的配置。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

背板帶寬和包轉發率

liuzhuqing 2020-02-20 13:13:34

集團總部與分部的IPsec V.P.N連接

liuzhuqing 2019-07-12 13:05:35

禁止靜態IP地址上網

liuzhuqing 2019-04-17 13:02:31

AC6605與AP5030DN三層組網隧道轉發配置

liuzhuqing 2018-09-12 06:42:18

DHCP option43配置方法

liuzhuqing 2018-09-12 06:07:18

配置中興ONU管理IP

liuzhuqing 2018-09-12 05:49:39