[Série de dépannage] Cas 22 Problème de réseau lorsqu’il passe par un tunnel IPsec.

13 0 0 0

Problème de réseau lorsqu’il passe par le tunnel IPsec

Topologie du réseau

150212md6w5v2l2dl7m1sg.png

Description du défaut

Le client ne peut pas envoyer de ping d'un côté à l'autre (202.1.1.1)

Fichiers de configuration

l    AR1

pki realm default 
 enrollment self-signed 

ssl policy default_policy type server 
 pki-realm default 

acl number 3000   
 rule 5 permit ip source 101.1.1.0 0.0.0.255 destination 202.1.1.0 0.0.0.255  
acl number 3333   
 rule 5 permit ip source 101.1.1.0 0.0.0.255  
 rule 10 permit ip destination 202.1.1.0 0.0.0.255  

ipsec proposal 1 
 esp authentication-algorithm sha2-256  
 esp encryption-algorithm 3des             

ike proposal 1 
 encryption-algorithm 3des-cbc 
 dh group2 
 authentication-algorithm sha1 
 prf hmac-sha2-256 

ike peer p1 v1 
 pre-shared-key cipher %^%#1"4j#17n2'.c\"3q3#g4NGy|1\9Rj%Y{5Y)r$o>$%^%# 
 ike-proposal 1 
 remote-address 172.168.1.2 

ipsec policy p1 10 isakmp 
 security acl 3000 
 ike-peer p1 
 proposal 1 

interface GigabitEthernet0/0/2 
 ip address 192.168.1.2 255.255.255.0 
 nat outbound 3333  
 ipsec policy p1 

ip route-static 0.0.0.0 0.0.0.0 10.220.6.1 
ip route-static 172.168.1.0 255.255.255.0 192.168.1.1 
ip route-static 202.1.1.0 255.255.255.0 192.168.1.1 

l    AR2

[V200R007C00SPCb00] 

acl number 3333   
 rule 5 permit ip source 202.1.0.0 0.0.3.255 destination 101.1.1.0 0.0.0.255  

ipsec proposal 1 
 esp authentication-algorithm sha2-256  
 esp encryption-algorithm 3des 

ike proposal 1 
 encryption-algorithm des-cbc 
 dh group2 
 authentication-algorithm sha1 
 prf hmac-sha2-256 

ike peer p1 v1 
 pre-shared-key cipher %^%#Xb=f+J<Up&;zprO9<Ik5s6EOIQoPDV~{U)*.bw:J%^%# 
 ike-proposal 1                           
 remote-address 192.168.1.2 

ipsec policy p1 10 isakmp 
 security acl 3333 
 ike-peer p1 
 proposal 1 

interface Vlanif999 
 description MANAGEMENT-DO-NOT-TOUCH 
 ip address 192.168.80.3 255.255.224.0 

interface GigabitEthernet0/0/0 
 description NE40E 
 ip address 172.16.1.6 255.255.255.252 

interface GigabitEthernet0/0/1 
 description USG1 
 ip address 172.168.1.2 255.255.255.0 
 ipsec policy p1 

ip route-static 0.0.0.0 0.0.0.0 10.220.6.1 
ip route-static 172.1.0.0 255.255.0.0 192.168.64.1 description MANAGEMENT-DO-NOT-TOUCH 
ip route-static 192.168.1.0 255.255.255.0 172.168.1.1 
ip route-static 192.168.10.0 255.255.255.0 192.168.64.1 description MANAGEMENT-DO-NOT-TOUCH 
#

Procédure de dépannage

                               Étape 1       Vérifiez l'état IPSec, nous pouvons voir que la phase 1 n'est pas établie. Alors vérifions le paramètre ike.

150212chtjhyrvti7sl7sl.png

Après avoir vérifié le paramètre ike, nous pouvons

trouver le paramètre n'est pas correct.

173018y1hr22090oe22qg1.png? Sa.png


Après avoir modifié le paramètre ike, vérifions à nouveau le statut. Maintenant, la phase 1 est ok, mais la phase 2 est incorrecte. Vérifions le paramètre de esp et acl.

150214fyjfkpeexpepjpec.png

Le ACL de AR2 n'est pas correct par rapport à AR1. L'ACL devrait être miroir

150215n7rmldedrphcvcv8.png

Après avoir modifié les règles acl, la phase 2 est maintenant opérationnelle. jusqu'à maintenant, le tunnel ipsec est établi.

150216jotwftz1wnglfgvl.png

                               Étape 2       Après avoir testé sur l'appareil, nous pouvons voir que le ping n'est toujours pas fonctionnel. Mais IPSEC est établi.Vérifions si le trafic que nous avons testé correspondait à l'acl.

Ensuite, vérifions la stratégie NAT sous la même interface et vérifions si les règles acl de NAt sont en conflit avec IPSec.

150216m0j108tlm1ka1ckl.png

Après que nous ayons changé le acl pour nat, le ping ne fonctionne pas encore. Vérifions si la méthode de cryptage esp est sha2. Si c'est sha2, configurons la commande de la manière suivante.

150217gkm998m34i99az84.png

Ping n'est toujours pas au travail. Vérifions la table de routage. Nous pouvons voir que la route sur AR2 n'est pas correcte. Le saut suivant n'est pas correct. Ajoutons un itinéraire statique pour cela.

150218g43li4ijj3bh434b.png

Après avoir configuré la route statique, le ping fonctionne maintenant

150219fwnjnj0ycw3999y4.png

Cause première

l    Vérifiez les paramètres concernant ike si la phase 1 d'ipsec n'est pas établie.

l    Vérifiez les paramètres concernant les esp et acl si la phase 2 d'ipsec n'est pas établie

l    Pour que le trafic ne puisse pas correctement être transmis, vérifiez l’aCl, vérifiez le routeur et vérifiez s’il existe des nat sous la même interface.

l    Remarquez la méthode esp encrypt, si c'est sha2, n'oubliez pas de configurer la commande compatible sha2.


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page