【运维小能手】华为IPSEC VPN隧道建立起来数据不通

[复制链接]
dhthongbin
dhthongbin   版主    发表于 2016-8-25 21:37:03   最新回复:2016-08-29 01:23:48

案例描述

总部和分支需要进行IPSEC VPN进行互访

1.问题描述

两端配置完IPSEC VPN后DIS IEK SA DIS IPSEC SA都可以看到隧道已经建立起来就是不能通信

2.问题分析

可能感兴趣流没有走隧道而是被NAT出去了,导致数据流没有走隧道。

3.排查

先DIS ACL看了一下是否有命中,然后在看NAT会话是否有数据流的会话。查看后数据流直接走的是隧道也就是被NAT出去了

4.分析

应该是ACL或者是策略没有生效。配置如下

 policy 1
  action source-nat
  policy source 172.19.156.0 0.0.0.255
  policy source 192.168.0.0 0.0.0.255
  easy-ip Dialer1
 policy 2
  action no-nat
  policy destination 172.19.112.0 0.0.7.255

POLICY 2为数据保护流,默认是有一个匹配关系先匹配1然后在匹配2所以导致没有走隧道,将其改为

 policy 0
  action no-nat
  policy destination 172.19.112.0 0.0.7.255

 policy 1
  action source-nat
  policy source 172.19.156.0 0.0.0.255
  policy source 192.168.0.0 0.0.0.255
  easy-ip Dialer1

IPSEC VPN数据可以正常通信。

5。总结

这种问题先应该先分析一下可能出现的问题,先看一下隧道是否建立,然后在看加密是否正确,然后在看数据保护流是否正确,基本就是这几点,然后就是NAT穿越,基本问题都会出在这向个点上。

跳转到指定楼层
嘟嘟飞
嘟嘟飞   版主    发表于 2016-8-25 22:08:24

又学习啦,IPSEC,非常好呐~
dhthongbin
dhthongbin 发表于 2016-8-25 22:09
多谢多谢 哈哈。 
社区互动你我他,繁荣和谐靠大家
dhthongbin
dhthongbin   版主    发表于 2016-8-28 11:57:00

@风之力 @无名小卒X @江湖小黑龙 @king @坐墙头等红杏 @龙之心 @ruanhuian @嘟嘟飞 @梅山龙少 @wanjun.cs @芋呢 @三四三 @风轻云淡 @建赟 @NARI_WU @faz @ccc @雨楼听雪 @wlx_dgg @你太天真 @xiongrong @CherrySunshine @hetao.yc @凌波微步 @新葫芦娃 @猪猪影院 @东方未名 @知名不具 @西之园兔有
大家帮忙顶下贴啊~
风之力
风之力   版主    发表于 2016-8-28 22:08:21

支持
折花勿折枝
无名小卒X
无名小卒X   钻石会员    发表于 2016-8-29 01:23:48

学习了
努力成为VIP,当上社区高富帅,迈向人生巅峰。
快速回复 返回顶部