2022年IPsecVPN服务中断诊断案例 .pdf-得力文库

资源描述

《2022年IPsecVPN服务中断诊断案例 .pdf》由会员分享，可在线阅读，更多相关《2022年IPsecVPN服务中断诊断案例 .pdf（5页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、IPsec VPN 服务中断诊断案例案例分析网络拓扑结构目的学习完本案例后，对于IPsec vpn 服务中断的故障排错有一个基本的思路。地址介绍SH Hai ASA 的 public IP 地址为 10.10.10.10, Philippine ASA 的 public IP 地址为11.11.11.11.（因涉及真实案例，故本案例中所有的公口地址都采用私网地址）案例描述用户自述并未对网络做任何变动，但突然就发现从上海到菲律宾的ipsec vpn 不通了。从上海到菲律宾的公网 IP 是可达的。现要找出故障原因，使得从上海的192.168.0.0 子网到菲律宾的106.0.0.0 子网可以通过V

2、PN通讯。排错工具Show crypto isakmp sa Show crypto ipsec sa Capture 命令Show logging 故障排错过程通过远程访问进入SH Hai ASA, 请求用户发起从A 子网到 B 子网的兴趣流，通过下面的命令察看show的结果：Show crypto isakmp sa Show crypto ipsec sa peer 11.11.11.11 输出结果为： “There are no ipsec sas for peer 11.11.11.11”注意 ASA 的 Isakmp sa 和 Ipsec SA 是紧密绑定在一起的，两者必须同时存

3、在，这点是和路由器不一样的。从上可以发现，兴趣流并没有触发第一阶段isakmp Sa的成功建立。检查两端 ASA 的 IKE proposal 和 pre-shared 密钥，双方匹配，没有发现任何错误。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 5 页 - - - - - - - - - 通过 capture 命令察看是否兴趣流到达SH ASA 的内口。SH-5520（config）# access-list cs permit ip 192.168.0.0 255

4、.255.128.0 106.0.0.0 255.255.255.0 SH-5520（config）# access-list cs perm ip 106.0.0.0 255.255.255.0 192.168.0.0 255.255.128.0 SH-5520（config）# capture cs access-list cs in LAN SH-5520（config）# show capture cs 19 packets captured 1: 13:34:37.443611 192.168.0.9 106.0.0.251: icmp: echo request 2: 13:34:

5、37.443892 192.168.0.9 106.0.0.251: icmp: echo request : 从上我们可以看出，SH Hai ASA 已经成功收到了来自192.168.0.0 子网的数据包。但是并没有收到来自 106.0.0.0 子网的数据包。同样在 Philippine ASA作 capture 发现， show 的结果为：Philippine （config）# show capture cs 0 packets captured 从以上抓包可以发现，上海的包应该没有送达菲律宾的ASA. 检查双方路由：SH-5520# show route C 192.168.0.0 2

6、55.255.255.0 is directly connected, LAN S* 0.0.0.0 0.0.0.0 1/0 via 20 x.xx.xx.xx, Outside1 没有问题。Philippine# show route C 106.0.0.0 255.255.255.0 is directly connected, inside 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 5 页 - - - - - - - - - S* 0.0.0.0 0.0.0.

7、0 1/0 via 20 x.xx.xx.xx, Outside 也没有问题。上海的公口和菲律宾的公口互Ping SH-5520# ping 11.11.11.11 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 122.55.79.161, timeout is 2 seconds: ! Philippine# ping 10.10.10.10 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 122.55.79.161, time

8、out is 2 seconds: 可以看到单向通讯capture 双方公口的包access-list cs1 permit ip host 10.10.10.10 host 11.11.11.11 access-list cs1 permit ip host 11.11.11.11 host 10.10.10.10 capture cs1 access-list cs1 in LAN 同样在 Philippine 方也做同样的capture,命令略。观测结果：如从 SH 发往 Phillippine 的公口的 Ping 包，可以看到在SH 端有 echo request的包可以捕捉到，但是

9、没有 echo reply 的包被捕捉到，在菲律宾端，没有任何包可以在公口捕捉到。如从 Phillippine 发往 SH 的公口的 Ping 包，可以看到在 Phillippine 端有 echo request的包可以捕捉到，但是没有 echo reply 的包被捕捉到，在SH 端，既有echo request的包可以捕捉到，也有echo reply 的包被捕捉到。从双向的观测结果可以看到，问题出在了SH 这一端的下一条，或者整个公网的路由或者其他方面。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -

10、- - - - - 第 3 页，共 5 页 - - - - - - - - - 在 SH 端 show arp: Outside1 20 x.1x4.x1.x49 000f.23d5.2c20 32 Outside1 20 x.x36.x16.2x9 000f.23d5.2c20 1270 Outside1 2x2.1x6.2x8.x4 000f.23d5.2c20 11262 Outside1 2xx.x.1x8.x7 000f.23d5.2c20 11268 发现有四个不同的IP 地址（下一跳）都映射到了同一个MAC 地址。电话和客户沟通，请他和SP 沟通，同时检查下一跳的连接方式和路由等

11、。客户电话回馈，是SH 下一跳的问题，已经解决了。（因不是本案例的重点内容，故细节省略。）SH 和 Philippine 再次互 Ping,互通成功，抓包也是正常的。但是兴趣流依旧没有触发成功的isakmp SA 的建立。在 SH ASA 上启动系统日志：Logging on Logging buffered informational Logging timestamp 然后 show logging 发现 SH ASA 报错： “no acceptable ipsec SA”.检查双方的 ipsec proposal,完全匹配。再检查双方的crypto map 的配置：SH ASA 的配置

12、：crypto map Outside1_map 1 match address Outside1_1_cryptomap crypto map Outside1_map 1 set pfs group1 crypto map Outside1_map 1 set peer 11.11.11.11 crypto map Outside1_map 1 set transform-set ESP-3DES-SHA Philippine ASA 的配置：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - -

13、- - 第 4 页，共 5 页 - - - - - - - - - crypto map outside-1_map 25 match address outside-1_60_cryptomap crypto map outside-1_map 25 set peer 10.10.10.10 crypto map outside-1_map 25 set transform-set ESP-3DES-SHA 问题找到， SH ASA 启动了 pfs group1, 而 Philippine ASA 没有启动。解决方案在 SH ASA 上：“no crypto map Outside1_map

14、 1 set pfs group1”.案例结果SH ASA 和 Philippine ASA最终可以成功建立SA,两个子网之间的流量通过VPN通讯。SH-5520# show crypto ipsec sa peer 11.11.11.11 peer address: 11.11.11.11 Crypto map tag: Outside1_map, seq num: 1, local addr: 10.10.10.10 access-list Outside1_1_cryptomap permit ip 192.168.0.0 255.255.128.0 106.0.0.0 255.255.

15、255.0 local ident （addr/mask/prot/port）：（192.168.0.0/255.255.128.0/0/0）remote ident （addr/mask/prot/port）：（106.0.0.0/255.255.255.0/0/0）current_peer: 11.11.11.11 #pkts encaps: 1888599, #pkts encrypt: 1888599, #pkts digest: 1888599 #pkts decaps: 1681578, #pkts decrypt: 1681578, #pkts verify: 1681578 #pkts compressed: 0, #pkts decompressed: 0 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 5 页 - - - - - - - - -

展开阅读全文