分享是一种生活态度,求知,求真,分享工作,分享生活!

IPsec VPN排错诊断案例

Cisco iqianyue 2160次浏览 0个评论 扫描二维码

QQ截图20160222112213

案例分析网络拓扑结构

networkTopologyCaseAnalysis

目的

学习完本案例后,对于IPsec vpn服务中断的故障排错有一个基本的思路。

地址介绍

上海ASA的public IP 地址为10.10.10.10, 菲律宾 ASA的public IP 地址为 11.11.11.11.

案例描述

用户自述并未对网络做任何变动,但突然就发现从上海到菲律宾的ipsec vpn不通了。现要找出故障原因,使得从上海的192.168.0.0子网到菲律宾的 106.0.0.0子网可以通过 VPN 通讯。

排错工具

Show crypto isakmp sa
Show crypto ipsec sa
Capture命令
Show logging

故障排错过程

  1. 通过远程访问进入上海ASA, 请求用户发起从 A子网到B子网的兴趣流,通过下面的命令察看show的结果:

    输出结果为:”There are no ipsec sas for peer 11.11.11.11”

    注意ASA的Isakmp sa和Ipsec SA 是紧密绑定在一起的,两者必须同时存在,这点是和路由器不一样的。从上可以发现,兴趣流并没有触发第一阶段isakmp Sa的成功建立。

  1. 检查两端ASA的IKE proposal和pre-shared 密钥,双方匹配,没有发现任何错误。
  1. 通过capture命令察看是否兴趣流到达上海 ASA的内口。

    从上我们可以看出,上海ASA已经成功收到了来自192.168.0.0子网的数据包。但是并没有收到来自106.0.0.0子网的数据包。

    同样在菲律宾ASA作capture发现,show的结果为:

    从以上抓包可以发现,上海的包应该没有送达菲律宾的ASA.

  1. 检查双方路由:

    没有问题。

    也没有问题。

  1. 上海的公口和菲律宾的公口互 Ping

    可以看到单向通讯,上海不能够ping通菲律宾,但菲律宾能ping通上海。

  1. capture双方公口的包

    同样在菲律宾方也做同样的capture。

    观测结果:
    如从上海发往菲律宾的公口的Ping包,可以看到在上海端有echo request的包可以捕捉到,但是没有echo reply的包被捕捉到,在菲律宾端,没有任何包可以在公口捕捉到。

    如从菲律宾发往上海的公口的Ping包,可以看到在菲律宾端有echo request的包可以捕捉到,但是没有echo reply的包被捕捉到,在上海端,既有echo request的包可以捕捉到,也有echo reply的包被捕捉到。 从双向的观测结果可以看到,问题出在了上海这一端的下一跳,或者整个公网的路由或者其他方面。
    在上海端show arp:

    发现有四个不同的IP 地址(下一跳)都映射到了同一个MAC 地址。

  1. 电话和客户沟通,请他和SP沟通,同时检查下一跳的连接方式和路由等。
  1. 客户电话回馈,是上海下一跳的问题,已经解决了。
  1. 上海和菲律宾再次互Ping,互通成功,抓包也是正常的。
  1. 但是兴趣流依旧没有触发成功的isakmp SA的建立。
    在上海ASA上启动系统日志:

    然后show logging 发现上海ASA 报错:”………..no acceptable ipsec SA”.

    检查双方的ipsec proposal,完全匹配。再检查双方的crypto map的配置:

    上海ASA的配置:

    菲律宾ASA的配置:

    问题找到,上海ASA启动了pfs group1, 而菲律宾ASA 没有启动。

  1. 解决方案
    在上海ASA上: “no crypto map Outside1_map 1 set pfs group1”.

案例结果

上海 ASA和菲律宾ASA最终可以成功建立SA,两个子网之间的流量通过VPN通讯。


iqianyue , 版权所有丨如未注明 , 均为原创,转载请注明iqianyue
喜欢 (3)
[]
分享 (0)
发表我的评论
取消评论

表情 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址