De acuerdo
Comunidad Huawei Enterprise
Comunidad Foro Seguridad
Falla del túnel CAPWAP s...

Falla del túnel CAPWAP sobre el túnel IPSec entre un AP y AC

146 0 6 0 0
Mostrar todos los comentarios 1#

Descripción del problema

El cliente tiene la topología de la siguiente manera. El AP5030DN se conectó a un AC a través del túnel IPSec e informó que el AC no puede ver el AP en línea.


f1


Información de alarma

La salida del comando display ap muestra los AP5030DN en estado de falla:

<AC6005-02>display ap all
  All AP information:
  Normal[1],Fault[2],Commit-failed[0],Committing[0],Config[0],Download[0]
  Config-failed[0],Standby[0],Type-not-match[0],Ver-mismatch[0]
  ------------------------------------------------------------------------------
  AP    AP               AP              Profile   AP              AP
                                         /Region
  ID    Type             MAC             ID        State           Sysname
  ------------------------------------------------------------------------------
  0     AP5030DN         7ca2-3efc-1660    0/0     fault           ap-0


Proceso de manipulación

1. Lo primero que debe verificar para tener comunicación CAPWAP entre AP y AC es si los puertos UDP 5246 (canal de control) y 5247 (canal de datos) están permitidos a través del túnel VPN IPSec y en ambas direcciones.

 

2. Si se confirma el primer paso, una sugerencia sería verificar los paquetes al mismo tiempo y en ambas direcciones antes de que el tráfico ingrese al túnel IPSec y luego salga de él en la dirección AP-IPSec-AC en el momento en que el AP no se comunica con AC.

 

Causa principal

La captura de los paquetes al mismo tiempo antes y después de que el tráfico ingrese al túnel IPSec nos lleva a la causa raíz de este problema porque observamos algunas diferencias entre los paquetes enviados por el AC y recibidos por el AP.

 

Tramas enviadas por el AC:


f2


Tramas recibidas por AP:


f3


Las tramas que faltan entre las enviadas y recibidas tienen 1514 Bytes (y tenga en cuenta que aquí no se captura el preámbulo 8 Bytes, el tráiler 4 Bytes, 4 Bytes de la etiqueta 802.1Q):


f4


Solución

Por lo tanto, el problema se encontro en el tamaño de MTU en el camino desde el  AC al AP


Se sugiere al cliente que aumente el tamaño del MTU en los dispositivos intermedios para permitir un overhead de frames. Al ampliar el tamaño del MTU se soluciona el problema reportado.

 

Nota: El MTU entre el  AP y AC se establece en 1500 Bytes (sin tener en cuenta el encabezado Ethernet).

 

 

Saludos.

 

FIN.


También te puede interesar:

Guía de dimensionamiento firewall USG6000 Series NGFW

Descripción general de la función DNS utilizado en firewalls de Huawei.

Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000

 

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

                                                                    

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente


SeguridadFirewallIPSecMTU
  • x
  • Opciones:

Me gusta (6) No me gusta (0) Favorito(0) Compartir Reportar
Previo: Degradación del rendimiento en VxLAN sobre IPSec
Próximo: Almacenando los diferentes registros de actividad en un firewall
Volver a la lista

Comentar

Editor Avanzado
B Color Image Link Quote Code Smilies
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión
Sitio web de Huawei Soporte Acerca de Huawei Privacidad Contrato de usuario Términos de uso Cookies Configuración de Cookies Capacitación y certificación

Póngase en contacto con nosotros: e_online@huawei.com Copyright © 2022 Huawei Technologies Co., Ltd. Todos los derechos reservados.

APP

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.