故障诊断与处理
C o m m e n t
T h r o u b l e S h o o t i n g
最近,笔
所在的公司
了开展一项
的业务,
外地的另一
公司进行内
我们选择了在互联网出口建立IPSec VPN,通过加密隧道,在用互联网传送内部专网的内容的同时,保证内部数据的安全性,实现企业之间的业务互通。
虽然IPSec VPN对企业虚拟业务专网的构建有着诸多好处,但是由于互联网环境的复杂,真正实施起来却并不轻松,笔者负责我公司这边的接口建立,就遇到了一点小麻烦,甚至差点影响到新业务的开展,处理故障所积累的一些经验,与大家分享。
我们知道,IPSec VPN的建立分为两个阶段:第一阶段,VPN客户端和接入点互相认证,确认对方身份;第二阶段,主要是协商针对特定的流量采用什么样的加密传输
呢?设备厂家的
售后工程师告诉
笔者,以前并没
有遇到过这种情
况,还是应该从
IPSec的配置上
原因。
故障排查
使用debug命令抓取VPN 设备的IKE和IPSec数据,发现了“IKE/7/DEBUG:recv ID: find ike peer by a d d r e s s(0x0a f f f f01) failed!”这样一条数据,意思是寻对端的IP地址失败,和对端的IP地址之间无法通信。可对端的IP地址是可以Ping通的呀。使用display firewall session table verbose destination-port 500命令查看设备的连接信息,发现对端设备一直有数据包发过来,而我方设备没有回去的数据包,这是怎么回事呢?难道是设备的访问策略有问题吗?再次联系对方的工程师,双方将设备的访问策略
配置错误导致IPSec VPN不通■ 合肥有线电视宽带网络有限公司 马涛
策略以及传输数据的完整性
校验策略。通常情况下,我
们只要把两边的IPSec参数
设置成相同,并且感兴趣数
据流匹配了,通道就能建立
起来了。于是,按照对方提
供的参数,配置了本端设备。
故障现象
配置完成后,发现通道
并没有建立。难道是参数
提供有误吗?联系了对方
的工程师,确认了配置参
数是一致的,并用display
ike peer和display ike
proposal查看配置信息确
认也是一致的。对方工程师
告诉笔者,对方使用的设备
与本端是同一厂家不同系列
的,比我方的配置要高,版本
要新。会不会是新版本的设
备和老版本的兼容性有问题
暂时全部放开,通道仍然没有建立起来。对方的工程师告诉笔者,IPSec的配置信息是参照其他正在运
行的链路的,应该不会有问题。
配置信息没问题,那会不会链路上有什么问题呢?一筹莫展之时,公司为其他项目采购的一批新的防火墙到货了。对了,本地搭建一个环境测试一下吧,正好也熟悉一下新的设备。虽然不是同一个品牌的防火墙,通道还是成功地建立了,也证实了笔者的猜测,链路上一定有问题。
又一次联系对方的工程师,这次大概摸清了整个网络的结构。笔者这边比较简单,支持IPSec VPN的一台防火墙架设在公网的接口上,内网的客户端需要去访问对方的服务器。而对方公司的网络结构就比较复杂了,对方的防火墙是在内网,通过端口映射成公网IP,笔者这边的内网IP需要先转换成特定的IP地址,经过IPSec通道到达对方网内后,再经过对方的再次地址转换去访问第三方的服务器。
这样的网络环境,我们在防火墙上启用了NAT穿越,于是笔者怀疑是对端NAT
设备的映射有问题。对方的
工程师给笔者提供了一条不
经过NAT的链路测试,也证
实了笔者的猜想是正确的,
通道能够正常建立起来。于
是,我们一起对设备的NAT
映射做了一一比对,却没有
发现任何问题。
在这里介绍一下IPSec
的作用,即数据的机密性、
完整性、认证性。机密性就
是保证数据包的原始内容
不被看到;完整性即保证数
据包的内容不会被修改;认
证性保证数据来自被信任
的客户端。IPSec中的封
装格式有两种(AH和ESP),
AH在IP数据包中插入了一
个包头,其中包含对整个数
据包内容的校验值;ESP用
户加密整个数据包内容,同
时也可以对数据包进行认
证。IPSec有两种不同的模
式:传输模式和隧道模式。
一种是传输模式,主要用于
主机到主机之间的直接通
信。另一种是隧道模式主要
用于主机到网关或网关到
网关之间。传输模式和隧道
模式主要在数据包封装时
有所不同。无论传输模式还
是隧道模式,AH都会认证整
个数据包,并且AH还会认
证位于AH头之前的IP 头。
当NAT设备修改了IP 头之
后,IPSec就会认为这是对
数据包完整性的破坏,从而
丢弃数据包,因此,AH是不
可能和NAT 在一起工作的。
而ESP在传输模式时会保护
TCP/UDP头,但是并不保护
IP头,因此,修改IP地址并
不会破坏整个数据包的完
整性。但是,如果数据包是
TCP/UDP数据包,NAT设备
就需要修改数据包的校验
值,而这个校验值是被ESP
所保护的,这样却会导致完
整性校验失败。所以,最终
可能和NAT一起工作的只能
是隧道模式下的ESP。
故障解决
正在我们一筹莫展的时
候,我在一个技术论坛里看
到了这样一句话,
“IKE V2
和IKE V1一样,也是使用
UDP500端口进行IKE SA和
IPSec SA的协商,但是不再
存在ESP和AH的流量了,
因为在后续的流量中,统一
流量都是UDP4500传输了。
也就是说,在IKE V2的环境
里,不再担心NAT环境了”。
之前的防火墙配置里面,我
责任编辑:张碧薇  投稿信箱:netadmin@365master故障诊断与处理
Throuble Shooting
们一直使用的是IKE V1,换成IKE V2试试看,通道终于建立起来了!
经验总结
这真是想不到,IKE的版本居然会受到NAT的影响,印象中无论是哪个版本都应该支持NAT穿越的!
IKE V1阶段1的目的是建立IKE SA,它支持两种协商模式:主模式和野蛮模式。主模式用6条ISAKMP 消息完成协商。野蛮模式用3条ISAKMP消息完成协商。野蛮模式的优点是建立IKE SA的速度较快,但是由于野蛮模式密钥交换与身份认证一起进行而无法提供身份保护。IKE V1阶段2的目的就是建立用来传输数据的IPSec SA,通过快速交换模式(3条ISAKMP消息)完成协商。而IKE V2简化了协商过程,IKE V2正常情况使用2次交换共4条消息就可以完成一个IKE SA和一对IPSec SA,如果要求建立的IPSec SA大于一对时,每一对SA只需额外增加1次交换,也就是2条消息就可以完成。
IPSec VPN配置完成后,
出现故障的几个可能原因及
排查方法。
1.感兴趣流是否匹配
可以用display acl
acl-number命令来检查流
量是否匹配了acl规则,
例如dis acl 3001,返回
信息rule 5 permit ip
source 10.11.12.0 0.0.0.7
destination 10.11.13.11
0 (0 times matched)。
命中次数为0表示流量
没有命中规则,不会触发建
立隧道。这时要检查源地址
和目的地址是不是符合实际
数据流的信息。
2.两端设备的IKE安全
提议配置是否一致
分别在两端的IPSec
设备上执行命令display
ike proposal,查看两台
设备的IKE安全提议配
置是否一致,包括加密
算法(authentication
algorithm)、认证算法
(encryption algorithm)和
DH组标识(Diffie-Hellman
group)等。
3.对端IP地址或对端域
名配置错误、两端设备的预共
享密钥配置是否一致、是否启
用了NAT穿越功能。
分别在两端的IPSec设
备上执行命令display ike
peer name,查看对端IP地
址是否配置正确,两端设备
的预共享密钥是否一致,两
端IKE版本是否一致,是否
启用了NAT穿越功能等。
4.两端设备的IPSec安
全提议配置是否一致
分别在两端设备上上
执行命令display ipsec
proposal,查看两台设备的
IPSec安全提议配置是否一
致,包括采用的安全协议、安
全协议采用的认证算法和加
密算法、报文封装模式等。
5.两端设备的PFS功能
配置参数是否一致
两台设备的PFS功能
指定的DH组必须一致,否
则IPSec隧道协商失败。分
别在两端设备上执行命令
display ipsec policy,查
session数据错误是什么意思
看两台设备的PFS功能参数
配置是否一致。
6.IPSec安全策略顺序号
配置是否正确
在设备上可以创建多个
具有相同名字的IPSec安全
策略,这些IPSec安全策略
可以组成一个IPSec安全策
略组,序号越小优先级越高,
接口将优先处理该IPSec安
全策略,优先【上接第138页】
故障现象
率明显下降,
较大,而且多
网络通信端口都有严重数据丢失现象。重新开启路由器时网络运行正常,但上网一段时间后就经常掉线,关闭路由器后再重启又可以连通网络。
故障分析
引起这种故障的原因比
先从输入电
源和工作环境
排查,均未发现
可疑现象。遭
受木马病毒攻
击是网络频繁掉线的一个典型特征,因此怀疑可能网内有遭受病毒或ARP攻击的用户,因计算机感染病毒或木马,对内部网络进行阻断性流量攻击所致。为此,使用查毒软件和木马专杀工具,扫描检测各用户计算机硬盘,重新安装
排查路由器掉线故障■ 河南 苗增良 王勇 高栋
较复杂,可能是由于硬件方
面的问题,也可能是由于路
由协议设置不当造成的,还
有可能是受网络攻击、病毒
感染、路由器内存不足或者
占用过多,以及路由器CPU
持续过载等,都有可能导致
这种现象的发生。
为该IPSec 安全策略定义的数据流建立IPSec隧道。因此确保需要使用的IPSec安全策略的序号最小。分别在两端设备上执行命令display ipsec policy,查看两台设备的IPSec安全策略顺序号。
7.IPSec安全策略应用是否在正确的接口上
IPSec安全策略应用到的接口一定是建立隧道的接口,且该接口一定是到对端私网路由的出接口。误将IPSec安全策略应用到其他
接口会导致VPN业务不通。
8.安全策略和NAT策略
配置问题
为了保证IPSec隧道正
常建立,需要正确配置安全
策略,包括Local区域与应
用IPSec策略的接口所在区
域间的安全策略,以及内网
接口所在安全区域与应用
IPSec策略的接口所在区域
间的安全策略;配置NAT策
略时需要对IPSec保护的数
据流不做NAT转换。
9.是否已清除旧的或已
经存在的SA(安全联盟)
当管理员修改或增加
IPSec配置后,要使用reset
ike sa和reset ipsec sa命
令清除旧的或已经存在的SA。
总的来说,在IPSec VPN
的配置上,首先要保证两端数
据的一致性,然后在路由、安
全策略和NAT策略上一定要正
确,在故障筛查时,更是不能放
过任何一个细节,多做测试,否
则,有些故障真是想破了脑袋
也想不出解决方法来啊。
【上接第137页】

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。