1、VPN故障排除手册IPsec VPN故障排除手册Version1.0迈普技术服务中心2008-05-01三、IPsec VPN常见问题处理 本章重点介绍VPN的故障排除的基本思路,以及分析故障原因和解决问题的常用方的基本思路,以及分析故障原因和解决问题的常用方法。本章内容: IPsec VPN故障排除基本思路 IPsec VPN常见故障处理 IPsec VPN SA状态信息说明 调试命令参数解释3.1 IPsec VPN故障排除基本思路 当IPsec VPN出现问题时,最直接的表现就是无法通过IPsec VPN访问远端内部网络。按照具体的情况又分为:IPsec隧道无法建立、IPsec隧道建立但
2、无法访问远端内部网络和IPsec隧道时断时连。通过IPsec的debug信息检测问题是比较快的,但需要使用者对debug信息比较熟悉。所以这里介绍针对上面三种情况的一般检测方法。1 IPsec VPN隧道无法建立检测方法:使用show cry ike proposal 和sh cry ipsec proposal 命令查看ike和ipsec的策略两端是否相同。使用sh cry policy 查看两端数据流是否匹配。2 IPsec隧道建立但无法访问远端内部网络检测方法:sh ip esp查看是否有in和out的数据;查看访问列表是否deny了受保护的数据流。3 IPsec隧道时断时连检测方法:查
3、看物理线路是否时通时断;查看是否有网点冲突。3.2 IPsec VPN常见故障处理故障一:IPsec VPN隧道无法建立可能的原因判断方法和解决方案1两端VPN设备无法互通1 从一端VPN设备ping另外一端,看是否能否ping通。如果不通,首先检查网络连接情况。2两端VPN可以ping通,但是相互收不到IKE协商报文1 检查VPN是否配置ACL或者前端是否有防火墙,禁止了IKE协商报文,需要在ACL或者防火墙上开放UDP500/4500端口;2 检查发起方VPN的内网口是否UP,特别是3005C-104以SW接口作为内网口,LAN口上没有接PC,SW口无法UP,将导致扩展ping不通对端。3
4、两端VPN采用证书认证方式,但是没有证书或者证书无效;采用预共享密钥方式认证没有配置密码1 通过show cry ike sa查看IKE隧道状态没有任何信息;2 打开debug cry ike normal,提示%IKE-ERR: cant initiate, no available authentication material (cert/psk) ;3 sh crypto ca certificates,查看证书是否有效。4两端IKE和IPsec策略不一致1. 如果采用主模式,查看IKE状态停止在STATE_MAIN_I1,采用积极模式,IKE状态停止在STATE_AGGR_I1,说明
5、可能是两端策略不一致,通过show cry ike proposal和show cry ipsec proposal查看两端策略是否相同;2. 打开debug cry ike normal,提示ignoring notification payload, type NO_PROPOSAL_CHOSEN 。5两端VPN设备配置了ID不是IP地址作为身份标识,而是域名或者其他,但是采用IKE协商采用主模式1 查看IKE KEY配置了identity,但是tunnel配置中配置了set mode main;2 查看IKE状态停止在STATE_MAIN_I1状态。6对端VPN设备配置错误ID或者没有配
6、置ID1 查看IKE KEY配置了identity,但是tunnel配置中没有配置ID;2 查看IKE状态停止在STATE_AGGR_I1状态;3 有%IKE-ERR: Aggressive Mode packet from 20.0.0.2:500 has invalid ID报错。7两端VPN设备不支持NAT穿越1 如果采用主模式,查看IKE状态停止在STATE_MAIN_I2状态,说明有可能VPN不支持NAT穿越,我们VPN默认支持,一般可能其他厂家VPN不支持。8两端VPN设备预共享密钥不一致1. 如果采用主模式,查看IKE状态停止在STATE_MAIN_I3状态,说明有可能两端VPN
7、预共享密钥配置不一致;2. 通过show run cry key查看两端的KEY是否相同。9两端保护数据流不匹配1. 查看IKE状态停止在STATE_QUICK_I1状态,说明有可能两端VPN预共享密钥配置不一致;2. 通过show cry ipsec sa查看没有ipsec隧道;3. 日志中有报错:%IKE-ERR: cannot respond to IPsec SA request for instance-65666: 30.0.0.0/8:0/0 = 20.0.0.2 (20.0.0.2). 20.0.0.1 (20.0.0.1)= 192.168.0.0/16:0/0& 注:IKE
8、第一阶段采用积极模式,因为积极模式进行IKE协商同时传送与SA、密钥交换和认证相关的载荷,所以一般IKE的错误都将导致IKE SA的状态为STATE_AGGR_I1。因此上述对IKE第一阶段问题判断基本都是基于主模式。 故障二:VPN隧道通,无法处理业务可能的原因判断方法和解决方案1业务数据走NAT,没有走VPN隧道1. 设备配置了NAT转换,访问列表没有将VPN的业务数据deny,可以查看访问列表来判断;2. 可以通过show cry ipsec sa或者show ip esp查看output的数据一直没有增加;3. 修改访问列表,拒绝VPN数据走NAT转换。2要访问服务器没有路由指向对端V
9、PN网关或者网关设置不对1. 在中心端VPN设备上ping服务器看能否ping通;2. 第一步可以ping通,则可以在客户端VPN设备上通过show cry ipsec sa或者show ip esp查看output的数据有增加,但是input的数据一直没有增加,在中心端VPN设备相反,有input的数据,但是没有output;3. 设置服务器对应的下端网段路由应该指向中心IPsec VPN设备的内网口。3线路PMTU导致大数据包丢弃1. 某些业务软件(例如一些财务软件或者登陆需要下载大量数据的应用程序)可以出现登陆界面,但是输入用户名密码后一直没有反应;2. 客户端采用默认ping包可以pi
10、ng通服务器,ping大包不通;3. 可以修改服务器网卡的MTU线路PMTU。故障三:VPN时通时断可能的原因判断方法和解决方案1公网连接不稳定1. 通过ping测试检测物理线路问题;2. 直接用PC接在公网线路测试看看是否会断;3. 如果是动态拨号,可以更改idletimeout为0。2某次线路故障造成两端的IPsec SA不能够同步1. 查看两端VPN设备是否关闭了DPD;2. 通过show cry ipsec sa查看两端SPI是否不相同;3. 在两端手工清除隧道重新建立或者设置DPD解决不同步问题。3分支机构VPN配置重复1. 隧道时断时连表现为当只有一个下端的时候一切正常,但当第二个
11、或某个特定下端连接上来的时候,出现只有一个能正确建立IPsec隧道或时断时连;2. 在中心VPN设备检查某个分支机构不能建立VPN隧道时却有相关的IPsec数据流;3. 可以在分支机构VPN上更换网段测试或者配置使用积极模式,配置不通的标识ID。3.3 IPsec VPN SA状态信息说明在进行VPN故障排除过程中,经常要查看IPsec VPN SA状态,这里有必要对SA显示信息做以说明,以便排查问题。正常情况下,每个分支结构对应两条IKE SA条目,且一般分支机构都是VPN发起方。当我们在分支机构VPN的特权模式下,键入show crypto ike sa后,显示IKE SA信息如下:loc
12、aladdr peeraddr peer-identity negotiation-state sa-id20.0.0.1 20.0.0.2 20.0.0.2 STATE_QUICK_I2 34620.0.0.1 20.0.0.2 20.0.0.2 STATE_MAIN_I4 3451、localaddr:发起IKE SA的本端地址,这里为公网接口地址;2、peeraddr:IKE SA的对端地址,为对端VPN的公网接口地址;3、peer-identity:对端标识,如果采用证书方式,显示为CN=xxxx;4、negotiation-state:隧道状态,IKE第一阶段协商分主模式和积极模式,
13、主模式为MAIN,积极模式为AGGR,本例第一阶段采用主模式,IKE第二阶段协商都是QUICK模式。关键字“I”代表IKE发起方,相应方用“R”表示;5、sa-id:SA的ID号。& 注:IKE的状态根据发起方和相应方状态有所区别,根据IKE第一阶段采用模式也有所区别,发起方正常情况状态,主模式时为STATE_QUICK_I2和STATE_MAIN_I4,积极模式时为STATE_QUICK_I2和STATE_AGGR_I2。相应正常情况状态,主模式时为STATE_QUICK_R2和STATE_MAIN_R3,积极模式时为STATE_QUICK_R2和STATE_AGGR_R2。当在VPN的特权
14、模式下,键入show crypto ipsec sa后,显示IPsec SA信息如下:VPN#show crypto ipsec sa1 policy name : p2 f (src, dst, protocol, src port, dst port) : 192.168.0.0/22 30.0.0.0/8 ip any any3 local tunnel endpoint : 20.0.0.1 remote tunnel endpoint : 20.0.0.24 the pairs of ESP ipsec sa : id : 18933, algorithm : DES HMAC-SH
15、A1-965 inbound esp ipsec sa : spi : 0X562f2161(1445929313)6 current input 0 packets, 0 kbytes7 encapsulation mode : Tunnel8 replay protection : ON9 remaining lifetime (seconds/kbytes) : 1244/460800010 uptime is 7 hour 39 minute 16 second11 outbound esp ipsec sa : spi : 0Xd2a40215(3533963797)12 current output 0 packets, 0 kbytes13 encapsulation mode : Tunnel14 replay protection : ON15 remaining lifetime (seconds/kbytes) : 1244/460800016 uptime is 7 hour 39 minute 16 second显
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1