本帖最后由 yzy 于 2018-12-12 11:19 编辑
网络拓扑图
总部WOC设备单臂模式部署,出口设备是AD,需要做好WOC的UDP500、4500端口映射 分支是第三方设备华三防火墙 需要通过标准的IPsec vpn互联,配置完成后发现无法协商成功
排错步骤 1、检查双方第一阶段配置是否配置一致
2、检查WOC日志,发现第二阶段协商失败
3、查看ipsce vpn第二阶段的密钥完美向前保密的勾是否去掉
4、去掉勾后还是发现在第二阶段无法协商成功,检查对端的IKE协商状态, 可用命令 disp ike sa 查看发现IKE状态中的远端IP并非总部的公网IP
5、检查总部出口设备IP情况,发现总部做的源地址转换中有多个公网IP,其中在上面看到的IP就在AD的源地址转换池中
6、解决办法就是在源地址转换中添加一条把woc设备的IP转换成指定的公网IP,在智能路由中添加一条智能路由放在最上面,源是woc设备的IP,目的是对端公网IP,选择指定出接口 注意事项: 记得放在最上面,不放在放上面可能会匹配到别的策略了 到智能路由中测试一下是否匹配到你配置的智能路由,如果有会话保持需要清空会话保持
7、查看日志发现第二阶段已经协商完成,在vpn状态中查看vpn隧道建立完成 在华三防火墙中通过 disp ipsec sa 查看隧道建立状况
8、接下来就是测试业务了,发现无法ping通总部的服务器,还要继续排查原因:加油::加油::加油:
9、首先检查一下是否配置了路由,通过命令添加一条静态路由,目的是总部的服务器网段掩码,下一跳是总部的公网IP ip route-static 10.145.1.0 24 58.59.136.46
10、发现还是无法访问总部的业务,tracert一下路由走向,发现数据包到达防火墙后就直接出公网了,查看接口配置发现NAT的优先级比ipsec vpn高,所以导致数据包直接匹配到了默认路由出公网
11、解决办法就是把分支需要访问总部服务器的IP拒绝NAT 进入ACL 3000 配置,在允许所有IP NAT前添加需要拒绝的源IP和目的IP
12、检查业务状态,发现可以ping通总部的服务器了
总结: 野蛮模式有NAT环境需要开启NAT-T穿透,WOC在第一阶段配置,WOC开启NAT-T穿透后华三设备会自动协商开启NAT-T 每配置一个步骤需要检测是否配置正常,协商状态是否正常,否则后期不好找到问题根源 配置的时候第二阶段建议先配置一个网段,ipsec vpn隧道建立正常能通信后再配置其他网段 | 
发表于 2018-12-12 11:22
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术专家1级