Tunel IPSEC no puede establecer conexion normal con un AR

91 0 0 0

Descripción del problema

 

AR1200E-S Se configuran los egresos múltiples. Una vez configurado el perfil IPSec, se pueden configurar algunos túneles y no se puede configurar el otro túnel IPSec.

 

Proceso de Manejo

Si el extremo opuesto falla al marcar el número, se realiza el dialup PPPoE. Consulte la dirección IP pública X.X.X.X y verifique el estado de negociación del ike. Si la bandera es nula, indica que se reciben paquetes y se inicia el proceso IPSec.

110551uheiw0z0gikud3kq.png

2. Verificar la configuración es correcta y el valor del ike es el mismo que el de TP-Link en el extremo opuesto.

3. Verificar la información de depuración

Paquete recibido que no es problema

<Huawei10>
Jun 21 2018 11:38:24.550.1+00:00 Huawei10 IKE/7/IKE_Debug Info:
IKE Packet Contents received from X.X.X.X for message type Recv_SA_KE_NONCE_ID_VID : 808787f1 150b5a5c 00000000 00000000 01100400 00000000 0000018a 04000034 00000001 00000001 00000028 01010001 00000020 01010000 80010005 80020001 80030001 80040002 800b0001 800c7080 0a000084 726e34c4 8431324a d1ffc74d bdadfa09 a06e3d90 0c350477 aabf3435 f1c0dcae c42fb9b3 035b5141 1ed6982f e5d3a9bb a588968e d6befbda 93734697 e789c68a b18c6c6a fd0bd31b 22d825b1 cf3b9477 4fa318b2 d10e5cce 90f49c4b 12f5226c 96820a8e 3cb90782 826c21ec 1d02e6f1 1b9594e6 84c4e2c7 f8f8cd31 6087ea7e 05000044 0d983ba2 5d078552 d7b4e9f6 c5e0b44a be3f6f88 6ed2d2f0 e4a7ef67 dc7cece1 c0da20a1 601fc0d5 704c2780 97233b15 e0572869 e7985508 e588dbf9 a2e14098 0d00000e 02000000 737a7465 73740d00 00144a13 1c810703 58455c57 28f20e95 452f0d00 00144485 152d18b6 bbcd0be8 a8469579 ddcc0d00 001

Encapsulated packet that is no problem

<Huawei10>
Jun 21 2018 11:38:24.570.1+00:00 Huawei10 IKE/7/IKE_Debug Info:
IKE Packet Contents sent to X.X.X.X for message type Send_SA_KE_NONCE_ID_VID_NATD_AUTH : 808787f1 150b5a5c 6e78792b 60fe2607 01100400 00000000 000001b0 04000034 00000001 00000001 00000028 01010001 00000020 01010000 80010005 80020001 80030001 80040002 800b0001 800c7080 0a000084 d7cc0862 d8eb3b22 c6ef2441 fc0820b7 81e77de4 987168d6 45a284ce 3672bad4 b25a4263 4c432803 3d612c2d 5443ced6 82f08caa db155346 89dacbbe 03659378 25ed7485 c9f60096 56606e6e 167b4f61 afff0b29 8fdfcbb4 74a56161 a635b79d fb3732cc 277a2e8c 7bf3ed7a b16b550b 024fe83b 6fc76eb8 a3234adf f2a10bd8 05000044 b9918c02 3d51943d 9080b17a a285ff98 e8e1b212 39fe22d0 98ce4e7d 1cceb006 4aecd463 f9d24cda 94c52f9b 99249930 41a4d09b 091bddc4 3a97f3f6 3d96674d 0d00000c 02000000 636f7265 0d000014 4a131c81 07035845 5c5728f2 0e95452f 0d000014 12f5f28c 457168a9 702d9fe2 74cc0100 0d000014

Pero el otro extremo no recibe ningún paquete.

110553xxarkp3r88jsxdz8.png

4. Hay una baja probabilidad de que el problema sea causado por el portador. Verifique la tabla de enrutamiento. Se encuentra que la ruta predeterminada a la interfaz saliente no existe y la interfaz saliente es una dirección IP fija GigabitEthernet0/0 / 0.

110556bnqxb2npgn1bgnq4.png

Verificar la configuración de ruta del router. Se encuentra que el extremo opuesto que puede establecer el túnel IPSec se refiere a la ruta estática, y la prioridad de ruta predeterminada de la interfaz G0/0 / 0 es 65.

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 x.x.x.x preference 65

Por lo tanto, la ruta presenta fallas. Aunque el router ha encapsulado el paquete ike, no envía el paquete al enlace correspondiente. Como resultado, el extremo opuesto no puede recibir el paquete y la negociación falla.

Causa raíz

La prioridad de ruta del paquete ike es menor que la de otras interfaces salientes. Como resultado, los paquetes no se envían al enlace correspondiente.

Una vez encontrado el problema, el cliente necesita acceder a Internet a través del puerto del marcador. El extremo opuesto tiene un dispositivo de dialup, la dirección IP no está fija y la ruta estática no se puede escribir. Por lo tanto, el problema no se puede manejar como de costumbre.

 

Solución

El cliente requiere que el puerto de marcador sea utilizado para el acceso a Internet por defecto. El extremo opuesto tiene un dispositivo de marcado, la dirección IP no está fija y la ruta estática no se puede escribir. Por lo tanto, se provee el siguiente esquema de configuración:

1. Cambiar la preferencia a 55 para el ruteo ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 218.17.X.X preference 65

2. Configurar el PBR para implementar Load Balancing

acl 3100  // para acceso a internet

 rule permit ip

acl 3200  // para ipsec

rule permit ip source 192.168.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255 

traffic classifier test

  if-match acl 3100

traffic classifier ipsec

  if-match acl 3200

traffic behavior test

  redirect ip-nexthop 1.1.1.1

traffic behavior ipsec

  permit

traffic policy test

  classifier ipsec behavior ipsec

  classifier test behavior test

ip route-static 1.1.1.1 32 Dialer 1

ip route-static 1.1.1.1 32 Dialer 2

 

Después de la configuración, la interfaz de red interna se invoca en la dirección entrante.

 

Después de la configuración, el cliente puede marcar hasta la VPN y acceder a Internet a través del marcador.

 

Sugerencias

Esta falla se debe principalmente a problemas de enrutamiento. Se debe principalmente a las necesidades especiales de los usuarios. Esta solución se puede utilizar para referencia.

 

 

 


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión