De acuerdo

Conectividad unidireccional IPSec

224 0 1 0 0

Hola a todos,

En esta publicación voy a compartir un caso sobre la conectividad unidireccional IPSec. Una vez generada la VPN IPSec, el tráfico de un sitio a otro es normal y el inverso no.

                  

Descripción del problema.

El cliente establece la VPN IPSec entre los dos firewalls, y después de las pruebas, se encuentra que el usuario R3 bajo FW2 puede hacer ping a través del usuario R2 bajo FW1, pero no viceversa.


Topología IPSec VPN

 

Figura 1. Topología de la VPN IPSec unidireccional.

 

Localización de fallos.

1. Compruebe el IKE SA y el IPSec SA en el FW1. El resultado es normal.


display ike sa

 

Figura 2. Ejemplo de salida del comando display ike sa


2. Haz un ping en el R2 al R3, y comprueba la tabla de sesiones en el FW1 para confirmar si el FW1 descarta el tráfico.


display firewall session


Figura 3. Ejemplo de salida del comando display firewall

 

El resultado muestra que el tráfico de R2 a R3 (10.1.21.2:53675 --> 10.1.22.2:2048) no se descarta en el firewall. Y el tráfico privado se reenvía a Internet directamente sin NAT.


3. Comprueba la configuración de la interfaz g1/0/1.


display configuration interfaz


Figura 4. Ejemplo de salida del comando display current-configuration interfaz

 

No hay configuración de política IPSec bajo esta interfaz

 

4. Como la VPN IPSec entre el FW1 y el FW2 se establece correctamente, la configuración de la política IPSec no se aplica bajo la interfaz g1/0/1. Compruebe la configuración de la interfaz g1/0/0.

 

La VPN IPSec se aplica en la interfaz g1/0/0.

 

5. Compruebe la tabla de enrutamiento en el FW1 y descubra que hay dos rutas por defecto en el cortafuegos, y el tráfico de R2 a R3 se dirige a la interfaz g1/0/1, mientras que la VPN IPSec se establece en la interfaz g1/0/0.

 

Causa Raíz 

El tráfico se asigna a la conexión y la política IPSec no está implementada.


Solución.

Configure una ruta estática en FW1 para especificar el siguiente salto al R3 a 10.1.11.2 explícito para que el tráfico se reenvíe a través de la interfaz g1/0/0.



También te puede interesar:

Guía de dimensionamiento firewall USG6000 Series NGFW

Descripción general de la función DNS utilizado en firewalls de Huawei.

Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000

                                                

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

Foro de Internet de las Cosas

                                                         

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente


  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.