Problème de réseau lorsqu’il passe par le tunnel IPsec
Topologie du réseau
Description du défaut
Le client ne peut pas envoyer de ping d'un côté à l'autre (202.1.1.1)
Fichiers de configuration
l AR1
pki realm default
enrollment self-signed
#
ssl policy default_policy type server
pki-realm default
#
acl number 3000
rule 5 permit ip source 101.1.1.0 0.0.0.255 destination 202.1.1.0 0.0.0.255
acl number 3333
rule 5 permit ip source 101.1.1.0 0.0.0.255
rule 10 permit ip destination 202.1.1.0 0.0.0.255
#
ipsec proposal 1
esp authentication-algorithm sha2-256
esp encryption-algorithm 3des
#
ike proposal 1
encryption-algorithm 3des-cbc
dh group2
authentication-algorithm sha1
prf hmac-sha2-256
#
ike peer p1 v1
pre-shared-key cipher %^%#1"4j#17n2'.c\"3q3#g4NGy|1\9Rj%Y{5Y)r$o>$%^%#
ike-proposal 1
remote-address 172.168.1.2
#
ipsec policy p1 10 isakmp
security acl 3000
ike-peer p1
proposal 1
#
interface GigabitEthernet0/0/2
ip address 192.168.1.2 255.255.255.0
nat outbound 3333
ipsec policy p1
#
ip route-static 0.0.0.0 0.0.0.0 10.220.6.1
ip route-static 172.168.1.0 255.255.255.0 192.168.1.1
ip route-static 202.1.1.0 255.255.255.0 192.168.1.1
l AR2
[V200R007C00SPCb00]
#
acl number 3333
rule 5 permit ip source 202.1.0.0 0.0.3.255 destination 101.1.1.0 0.0.0.255
#
ipsec proposal 1
esp authentication-algorithm sha2-256
esp encryption-algorithm 3des
#
ike proposal 1
encryption-algorithm des-cbc
dh group2
authentication-algorithm sha1
prf hmac-sha2-256
#
ike peer p1 v1
pre-shared-key cipher %^%#Xb=f+J<Up&;zprO9<Ik5s6EOIQoPDV~{U)*.bw:J%^%#
ike-proposal 1
remote-address 192.168.1.2
#
ipsec policy p1 10 isakmp
security acl 3333
ike-peer p1
proposal 1
#
interface Vlanif999
description MANAGEMENT-DO-NOT-TOUCH
ip address 192.168.80.3 255.255.224.0
#
interface GigabitEthernet0/0/0
description NE40E
ip address 172.16.1.6 255.255.255.252
#
interface GigabitEthernet0/0/1
description USG1
ip address 172.168.1.2 255.255.255.0
ipsec policy p1
#
ip route-static 0.0.0.0 0.0.0.0 10.220.6.1
ip route-static 172.1.0.0 255.255.0.0 192.168.64.1 description MANAGEMENT-DO-NOT-TOUCH
ip route-static 192.168.1.0 255.255.255.0 172.168.1.1
ip route-static 192.168.10.0 255.255.255.0 192.168.64.1 description MANAGEMENT-DO-NOT-TOUCH
#
Procédure de dépannage
Étape 1 Vérifiez l'état IPSec, nous pouvons voir que la phase 1 n'est pas établie. Alors vérifions le paramètre ike.
Après avoir vérifié le paramètre ike, nous pouvons
trouver le paramètre n'est pas correct.
Après avoir modifié le paramètre ike, vérifions à nouveau le statut. Maintenant, la phase 1 est ok, mais la phase 2 est incorrecte. Vérifions le paramètre de esp et acl.
Le ACL de AR2 n'est pas correct par rapport à AR1. L'ACL devrait être miroir
Après avoir modifié les règles acl, la phase 2 est maintenant opérationnelle. jusqu'à maintenant, le tunnel ipsec est établi.
Étape 2 Après avoir testé sur l'appareil, nous pouvons voir que le ping n'est toujours pas fonctionnel. Mais IPSEC est établi.Vérifions si le trafic que nous avons testé correspondait à l'acl.
Ensuite, vérifions la stratégie NAT sous la même interface et vérifions si les règles acl de NAt sont en conflit avec IPSec.
Après que nous ayons changé le acl pour nat, le ping ne fonctionne pas encore. Vérifions si la méthode de cryptage esp est sha2. Si c'est sha2, configurons la commande de la manière suivante.
Ping n'est toujours pas au travail. Vérifions la table de routage. Nous pouvons voir que la route sur AR2 n'est pas correcte. Le saut suivant n'est pas correct. Ajoutons un itinéraire statique pour cela.
Après avoir configuré la route statique, le ping fonctionne maintenant
Cause première
l Vérifiez les paramètres concernant ike si la phase 1 d'ipsec n'est pas établie.
l Vérifiez les paramètres concernant les esp et acl si la phase 2 d'ipsec n'est pas établie
l Pour que le trafic ne puisse pas correctement être transmis, vérifiez l’aCl, vérifiez le routeur et vérifiez s’il existe des nat sous la même interface.
l Remarquez la méthode esp encrypt, si c'est sha2, n'oubliez pas de configurer la commande compatible sha2.