2020网络IPSec VPN故障排查.docx

IPSecVPN故障排查IPSecVPN是一种很常用的三层VPN技术，它可以保证数据通信的机密性、完整性，还可以实现数据源验证、防重放报文等安全功能。IPSeCVPN的相关问题需要综合考虑路由、IKE、IPSeC和访问控制等模块，定位故障的思路是：先查路由、再查IKE和IPSee模块，最后查看安全策略。1、查看隧道两端设备互通情况要想保证IPSeCVPN隧道建立成功，首先需要保证隧道两端设备通信正常，IKE协议报文踹口500或者4500）能够正常交互。先查看两端VPN设备的路由或者通过Ping等手段测试网络互通情况，然后检查对端设备及中间防火墙的配置确保UDP500或者4500端口开放。在本地可以通过抓包或者debugIKE的方法确认是否收到对端设备发送的IKE报文，但是如果设备配置多个IKEPeer时，不建议采用debugIKE的方法。命令：Pingx.x.x.x<H3C>ping60.191.99.142PING60.191.99.142：56databytes,pressCTRL_CtobreakReplyfrom60.191.99.142：bytes=56Sequence=OttL=255time=lmsReplyfrom60.191.99.142：bytes=56Sequence=Ittl255time=lmsReplyfrom60.191.99.142：bytes=56Sequence=2ttl=255tie=lms2、检查公网路由如果不能Ping通隧道对端地址，或者无法收到对端发送的IKE报文，需要检查两端设备之间的路由和安全策略配置。不同设备的安全策略配置不同，具体参考对应设备的配置手册。命令：displayiprouting-tablex.x.x.x例如：通过命令查看本地设备到达隧道对端地址60.191.99.142的路由是否正常。<H3C>displayirouting-table60.191.99.142RoutingTable:PublicSunroaryCount：1DestinationZlaskProtoPreCostNq空Interface60.191.99.0/24Direct006ai9199.141GEO/13、查看IPSeCSA如果IPSecSA是通过手工建立的，需要仔细查看两端设备SA的相关参数配置是否正确，如果IPSeCSA是通过IKE协议动态协商的，那么需要查看两端IPSeCSA是否已经建立，并检查两端SA的SPI、保护的数据流等信息是否匹配o正常情况下两端设备的InboUnd和OUtboUndSA是相互对应的，保护数据流(flow)的源目的地址也是相反的。命令：displayipsecsabriefremote例如：通过命令查看，可以确认IPSeCVPN的SA已经正常建立，SPI和保护的数据流(FLOW)都是正确的。H3Cdisplay时Interface：GigabitEthernetO/1path11J:1500IPsecpolicyname:*ipsecypn*sequencenumber:1aclversion：ACL4mode:i.ssconnectionid：8encapsulationnode:tunnelperfectforwardsecrecy：tunnel：localaddress:60.191.99.141rcnoteaddress：60.191.99.142flow：souraddr:192.168.1.0/255.2S5.255.0part：0protocol:IPdestaddr：192.168.2.02S5.255.255.0part:0protocol：IPinboundKSPS¾驶：1893507505(OxTOdcalbl)proposal:EsP-ENCRYpT-3DESESP-AUTH-SHAIduration(kilobytes/sec)：1843200/3600saremainingduration(kilobytes/sec)：1843159/2953maxsequencenumberreceived:641anti-replaycheckenable:Yanti-replaywindowsize：32u<>encapsulationusedfornattraversal:NoutboundESPSAsu>i:438707633(0xla262Sbl)proposal：ESP-ENCRYPT-3DESESP-AVrH-SHAlsaduration(kilobytes/sec):1843200/3600saremainingduration(kilobytes/sec)：1843159/2953maxsequencenumbersent：642udpencapsulationusedfornattraversal：N4、查看IKESA查看VPN设备上IKE第一阶段和第二阶段SA是否建立正常。命令：displayikesaverbose例如：通过命令查看，可以确认IKE第一阶段和第二阶段的SA已经正常建立。H3CdisplayikeSatotalphase-1SAs：1connection-idpeerflagphase5860.191.99.142RD1IPSEC5960.191.99.142RD2IPSECflagmeaningRD-READYst-Stayaliverl-replacedfdadingto-ti三eout7、检查私网路由私网路由就是指被IPSeCVPN保护的数据流的路由，主要是查看两端VPN设备到站点之间的路由是否正常，VPN设备上到对端私网的路由是否从配置IPSeC策略的接口出去等信息。命令：displayiprouting-table例如：通过命令查看，可以确认VPN设备到达本端私网网段192.168.L0/24的路由正常，到达对端私网网段192.168.2.0/24的路由也已经存在，而且出接口就是下发IPSeCVPN策略的接口。H3Cdisplayiprouting-tableRoutingTables：PublicDestination：5：7Routes：7Destination/IaskProtoPreCostNextHopInterface60.191.99.0/24Direct0060.191.99.141GEO/160.191.99.141/32Direct00127.0.0.1InLoopO192.168.1.0/24Direct00192.168.1.1GE02192.168.1.1/32Direct00127.0.0.1InLoopO192.168.2.0/24Static60060.191.99.142GEO/15、检查IKE配置检查VPN隧道两端设备IKE相关配置是否正确，包括ikelocalname>ikePrOPOSal以及ikePeer等酉己置。命令：displaycurrent-configurationdisplayikeproposaldiplayikepeer例如：通过命令查看ikelocal-name>ikeproposal、ikePeer等相关配置是否正确。H3CdisplayCtirrent-configurationincludeike#ikelocal-namebeijingv*v*#H3CdisplayikeproposalpriorityauthenticationauthenticationencryptionDiffie-Hellmandurationmethodalgorithmalgorithmgroup(seconds)1PRE.SHAREDID53DESjCBCIODP_76886400defaultPRE_SHAREDSHADES.CBCM0DP_76886400H3CdisplayikepeerIKEPeer:hangzouexchangemode：aggressiveonphase1proposal：1Pre-Shared-key什行r*peeridtype：namepeeriaddress:60.191.99.142localipaddress:peername：hangzhounattraversal：enabled:6、检查IPSeC酉己置查看隧道两端设备IPSec策略的封装模式、加密及认证方式是否一致,保护的数据流是否对应，以及IPSeC策略是否正确下发等内容。命令：displayaclnumberdisplayipsectransform-setdisplayipsecpolicydisplaycurrent-configurationinterface例如：通过命令查看IPSeC的ACL、安全协议、加密认证算法等相关配置。版权所有:杭州华三通信技术有限公司H3Cdisplayacl3000AdvancedACL3000,named-none-,1rule,ACL'sstepis5rule0permitipsource192.168.1.00.0.0.255destinati192.168.2.00.0.0.255(10timesmatched)H3Cdisplayisectransform-setIPsectransfn-setname：bjhzencapsulationmode：tunnelESN:disableESNscheme:NOtransform：esp-11ewESPprotocol:Integrity：shalrac-96Encryption：3desH3CdisplayipsecpolicyIPsecPolicyGroup:,zipsecypn,zW*vVW>A-zWWWWWV*ZInterface:GigabitEthernet0/1IPsecpolicyname:"ipsepn”sequencenumber：1aclversion：ACL4VAAAVmode：isak三>VSA*v*v*Zv*vavC/securitydataflow:3000selectormode：standardike-peername：hangzhouperfectforwardsecrecy：transfomr-setname：bjhzsynchronizationinboundanti-replay-interval：1000packetssynchronizationoutboundanti-replay-interval：100000packetsIPsecSalocalduration(timebased)：3600secondsWVWvWWWWIPsecSalocalduration(trafficbased)：1843200kilobytesWAAAWpolicyenable：Truetfcenable：FalseH3Cdisplaycurrent-configurationinterfaceGigabitEthernet0/1#interfaceGigabitEthernetOZl8、检查域间策略或者包过滤配置在某些情况下有可能会在设备上配置IPSeCVPN的同时也配置了相关包过滤或者域间策略等功能，为了保证IPSeCVPN隧道能够正常建立和通信，需要在配置包过滤策略时允许IPSeCVPN的协议报文以及加解密后的数据报文通过。命令：displaycurrent-configuration例如：以防火墙为例，设备配置了UntrUSt到TrUSt的域间策略并允许所有报文通过，所以不会阻断IPSeCVPN的协议报文及加密后的数据报文。HSCldisplayCUrrenLCWIfigUratiOnydRootid1zoneruseTrustid2priority85i>rtinterfaceGigabitEthEmet0/2zonenameDKZid3priority50Znnerf*eDntriistid4priority5!portinterfaceGigabitEthemetO/1avititoydRtInterzonEsourceUhtrustdestinationTrustrule0penutsource-ipany_addressdestination-ipany.addressserviceany-seviceruleenable