故障案例：两个Security ACL规则冲突

现象描述

如下组网图所示，某企业使用多个分支和总部设备1进行IPsec对接。多个分支都是固定IP地址，大多数分支到总部都可以正常通信，并且分支之间可以互相通信，唯独其中一个分支（其网关为设备3）的内网PC和总部内网之间不能正常通信。

在设备3上执行命令display ike sa，发现IPsec隧道建立成功。

<sysname1> display ike sa Total number of IKE SA in all CPU : 1Total number of phase 1 SAs in all CPU : 1Total number of phase 2 SAs in all CPU : 1Flag Description: RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP M--ACTIVE   S--STANDBY   A--ALONE  NEG--NEGOTIATING                        Spu board slot 0, cpu 0 IKE SA information : Number of IKE SA : 1,  number of IKE SA1: 1,  number of IKE SA2: 0--------------------------------------------------------------------------------------------------   Conn-ID    Peer           VPN             Flag(s)              Phase  RemoteType  RemoteID  ------------------------------------------------------------------------------------------------    8388     2.1.1.1:500                       RD|ST|A              v2:2  IP          7.7.7.8   8378     2.1.1.1:500                       RD|ST|A              v2:1  IP          7.7.7.8  ------------------------------------------------------------------------------------------------
相关告警与日志

• 相关告警

  无
• 相关日志

  无
  
  

原因分析

PC3可以与其他分支PC正常通信，唯独与总部PC不能正常通信，说明IPsec配置、链路都正常。其可能原因为Security ACL规则冲突。

操作步骤

• 执行命令display ipsec sa查看Security ACL协商出的被保护的数据流是否有冲突。

  查看下总部的Security ACL协商出的被保护的数据流是否有冲突。

  <sysname1> display ipsec sa ipsec sa information:=============================== Interface: GE1/0/1 ===============================    -----------------------------   IPsec policy name: "map1"   Sequence number  : 1   Acl group        : 3000/IPv4   Acl rule         : 5   Mode             : ISAKMP   -----------------------------     Connection ID     : 83893872     Encapsulation mode: Tunnel     Holding time      : 0d 0h 32m 4s     Tunnel local      : 1.1.3.1:500     Tunnel remote     : 1.1.5.1:500     Flow source       : 10.1.0.0/255.255.0.0 0/0     Flow destination  : 10.1.0.0/255.255.0.0 0/0 .....    -----------------------------   IPsec policy name: "map1"   Sequence number  : 2   Acl group        : 3001   Acl rule         : 5   Mode             : ISAKMP   -----------------------------     Connection ID     : 83893872     Encapsulation mode: Tunnel     Holding time      : 0d 0h 32m 4s     Tunnel local      : 1.1.3.1:500     Tunnel remote     : 1.1.6.1:500     Flow source       : 10.1.0.0/255.255.0.0 0/0     Flow destination  : 10.1.3.0/255.255.255.0 0/0 .......     

  发现总部能够与分支正常通信的ACL数据流范围（ACL 3000的rule 5）包括了不能与分支正常通信的ACL里的数据流（ACL 3001的rule 5），造成Security ACL规则冲突。
• 修改Security ACL规则。

  修改总部设备1的Security ACL规则。对于分支，这里不再赘述，其Security ACL规则与总部互为镜像即可。

  <sysname1> system-view[sysname1] acl number 3000 [sysname1-acl4-advance-3000] rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255[sysname1-acl4-advance-3000] quit[sysname1] acl number 3001 [sysname1-acl4-advance-3001] rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.3.0 0.0.0.255     

  修改后，PC3可以与总部PC1正常通信。
  
  

建议与总结

对于多个分支与总部建立IPsec隧道，配置Security ACL规则时需注意：

• ACL中各条rule的地址段要避免出现重叠。因为地址段重叠的rule之间容易相互影响，造成数据流匹配rule规则时出现误匹配的情况。
• 同一个IPsec安全策略组中配置的ACL不能包含相同的rule规则。
• 同一个IPsec安全策略组中所有IPsec安全策略引用的ACL的rule之间不能存在交集。
  
  

感谢楼主分享，学习一下

楼主，是你让我深深地理解了‘人外有人，天外有天’这句话。谢谢你!在看完这帖子以后，我没有立即回复，因为我生怕我庸俗不堪的回复会玷污了这社区少有的帖子。但是我还是回复了，因为觉得如果不能在如此精彩的帖子后面留下自己的网名，那我会遗憾终生的!