配置iproute
iproute 时间:2021-04-14 阅读:()
知VRFIPSec李聪2016-09-19发表SecPathF1080系列防火墙内网接口绑定vpn实例组网情况下ipsecvpn不通的案例分析一、组网:如图所示,两台防火墙FW1和FW2分别部署在两个不同的局点.
之前两台防火墙之间建立ipsecvpn进行两个局点的私网地址互通的,两台防火墙都是使用的主模式建立的ipsecvpn,之前ipsecvpn的业务一直正常使用.
现在由于FW1这边的局点增加了几个网段,使用不同的业务需求,现在客户要求使用vpn实例隔离的方式实现.
因此,本案例中将FW1的接口G0/0加入了vpn实例test.
但是我们发现一个问题,将内网接口G0/0加入vpn实例之后发现ipsecvpn全部断开,业务中断.
本案例涉及的防火墙的型号均为SecPathF1080,版本为Version7.
1.
064,Release9313P07.
二、原因分析:接下来从客户配置、网络情况、以及debug方面进行分析.
1.
检查配置通过检查现场的配置如下(下面为FW1的配置主要信息,域间策略等配置没有问题,这里不再描述):#ipvpn-instancetestroute-distinguisher10:1vpn-target10:1import-extcommunityvpn-target10:1export-extcommunity//vpn实例的配置#interfaceGigabitEthernet0/0ipbindingvpn-instancetest//将接口加入vpn实例testipaddress192.
168.
1.
1255.
255.
255.
0#acladvanced3010//配置的acl匹配的流量rule0permitipsource192.
168.
1.
00.
0.
0.
255destination192.
168.
2.
00.
0.
0.
255//以下是ipsecvpn的配置#ipsectransform-set1espencryption-algorithm3des-cbcespauthentication-algorithmmd5#ipsecpolicyh3c1isakmptransform-set1securityacl3010local-address1.
1.
1.
1remote-address1.
1.
1.
2ike-profileh3c#ikeprofileh3ckeychain1matchremoteidentityaddress1.
1.
1.
2255.
255.
255.
255#ikeproposal1encryption-algorithm3des-cbcauthentication-algorithmmd5#ikekeychain1pre-shared-keyaddress1.
1.
1.
2255.
255.
255.
255keycipher$c$3$TXgO9EZW+xdt1XqF6O/u0/h6j83RSXHukphu#interfaceGigabitEthernet/0/1ipaddress1.
1.
1.
1255.
255.
255.
0//配置外网接口的ip地址ipsecapplypolicyh3c//在接口上面调用ipsec策略#iproute-static192.
168.
2.
0241.
1.
1.
2//配置静态路由以上配置主要就是FW1增加vpn实例之后的配置,可以看出客户主要增加的配置就是内网接口G0/0下面增加的绑定vpn实例的配置.
根据现场反馈,之前没有在G0/0接口下面增加绑定VPN实例的时候是可以正常使用的,目前就只是在FW1的G0/0接口下面增加绑定vpn实例的配置,FW2上面的配置没动过.
现在的现象就是ipsecvpn不通了.
从以上的简单初步的分析可以看出应该是配置问题导致的.
2.
分析问题原因通过以上的简单分析,我们初步怀疑是配置问题导致的,因此我们再重新检查配置发现ipsecvpn配置参数里面有关于vpn实例的解释.
下面我们针对配置使用debug工具对配置进行验证.
2.
1ipsec对不同vpn实例的处理机制我们查询手册资料之后发现ipsec对不同vpn实例的处理机制,其中本功能就是在ikeprofile里面进行配置的.
对于内部MPLSL3VPN实例,当IPsec解封装后得到的报文需要继续转发到不同的VPN中去时,设备需要知道在哪个VPN实例中查找相应的路由.
缺省情况下,设备在与外网相同的VPN中查找路由,如果不希望在与外网相同的VPN中查找路由去转发报文,则可以指定一个内部VPN实例,通过查找该内部VPN实例中的路由来转发报文.
其中配置参数为:在ikeprofile视图下面配置inside-vpnvpn-instance[vpn-name].
2.
2尝试修改配置以及通过debug工具进行验证从以上的分析我们看出如果设备需要转发到不同的vpn实例的话,ikeprofile里面是需要配置inside-vpnvpn-instance这个参数的.
如下配置:#ikeprofileh3ckeychain1matchremoteidentityaddress1.
1.
1.
2255.
255.
255.
255inside-vpnvpn-instancetest//增加这部分配置#配置上以上参数我们通过displayikesa以及displayipsecsa发现还是没有ipsec的建立.
因此通过debuggingikeall发现也没有ike的协商报文过程.
因此怀疑没有触发ipsec的协商.
接下来,我们还可以发现没有触发协商一般就是acl的问题,现在内网接口G0/0加入了vpn实例,那么acl的配置也应该有所修改:acladvanced3010rule0permitipvpn-instancetestsource192.
168.
1.
00.
0.
0.
255destination192.
168.
2.
00.
0.
0.
255接下来,还需要检查路由的配置,内网的报文需要经过设备封装ipsec出外网,那么我们之前配置的静态路由也是需要修改的:iproute-staticvpn-instancetest192.
168.
2.
0241.
1.
1.
2public通过以上配置之后,我们发现重新resetikesa以及resetipsecsa,然后触发ipsec协商发现debug能够抓取到协商的报文以及协商过程.
通过displayikesa以及displayipsecsa能够看到ipsec建立成功.
三、解决办法:通过以上的分析,我们总结了以下几点:1.
配置acl,需要带有vpn实例,保证内网访问发出的协商报文能够触发ipsec协商.
2.
配置路由,带上vpn实例,然后指向对方的地址,需要带有public的参数.
3.
配置ikeprofile,里面需要配置inside-vpnvpn-instancetest.
4.
如果发现ipsec不能建立,建议两边设备的ikesa以及ipsecsa都需要清除一下,然后重新协商就可以了.
因此,本案例最后还建议这种组网的情况下配置dpd检测功能.
之前两台防火墙之间建立ipsecvpn进行两个局点的私网地址互通的,两台防火墙都是使用的主模式建立的ipsecvpn,之前ipsecvpn的业务一直正常使用.
现在由于FW1这边的局点增加了几个网段,使用不同的业务需求,现在客户要求使用vpn实例隔离的方式实现.
因此,本案例中将FW1的接口G0/0加入了vpn实例test.
但是我们发现一个问题,将内网接口G0/0加入vpn实例之后发现ipsecvpn全部断开,业务中断.
本案例涉及的防火墙的型号均为SecPathF1080,版本为Version7.
1.
064,Release9313P07.
二、原因分析:接下来从客户配置、网络情况、以及debug方面进行分析.
1.
检查配置通过检查现场的配置如下(下面为FW1的配置主要信息,域间策略等配置没有问题,这里不再描述):#ipvpn-instancetestroute-distinguisher10:1vpn-target10:1import-extcommunityvpn-target10:1export-extcommunity//vpn实例的配置#interfaceGigabitEthernet0/0ipbindingvpn-instancetest//将接口加入vpn实例testipaddress192.
168.
1.
1255.
255.
255.
0#acladvanced3010//配置的acl匹配的流量rule0permitipsource192.
168.
1.
00.
0.
0.
255destination192.
168.
2.
00.
0.
0.
255//以下是ipsecvpn的配置#ipsectransform-set1espencryption-algorithm3des-cbcespauthentication-algorithmmd5#ipsecpolicyh3c1isakmptransform-set1securityacl3010local-address1.
1.
1.
1remote-address1.
1.
1.
2ike-profileh3c#ikeprofileh3ckeychain1matchremoteidentityaddress1.
1.
1.
2255.
255.
255.
255#ikeproposal1encryption-algorithm3des-cbcauthentication-algorithmmd5#ikekeychain1pre-shared-keyaddress1.
1.
1.
2255.
255.
255.
255keycipher$c$3$TXgO9EZW+xdt1XqF6O/u0/h6j83RSXHukphu#interfaceGigabitEthernet/0/1ipaddress1.
1.
1.
1255.
255.
255.
0//配置外网接口的ip地址ipsecapplypolicyh3c//在接口上面调用ipsec策略#iproute-static192.
168.
2.
0241.
1.
1.
2//配置静态路由以上配置主要就是FW1增加vpn实例之后的配置,可以看出客户主要增加的配置就是内网接口G0/0下面增加的绑定vpn实例的配置.
根据现场反馈,之前没有在G0/0接口下面增加绑定VPN实例的时候是可以正常使用的,目前就只是在FW1的G0/0接口下面增加绑定vpn实例的配置,FW2上面的配置没动过.
现在的现象就是ipsecvpn不通了.
从以上的简单初步的分析可以看出应该是配置问题导致的.
2.
分析问题原因通过以上的简单分析,我们初步怀疑是配置问题导致的,因此我们再重新检查配置发现ipsecvpn配置参数里面有关于vpn实例的解释.
下面我们针对配置使用debug工具对配置进行验证.
2.
1ipsec对不同vpn实例的处理机制我们查询手册资料之后发现ipsec对不同vpn实例的处理机制,其中本功能就是在ikeprofile里面进行配置的.
对于内部MPLSL3VPN实例,当IPsec解封装后得到的报文需要继续转发到不同的VPN中去时,设备需要知道在哪个VPN实例中查找相应的路由.
缺省情况下,设备在与外网相同的VPN中查找路由,如果不希望在与外网相同的VPN中查找路由去转发报文,则可以指定一个内部VPN实例,通过查找该内部VPN实例中的路由来转发报文.
其中配置参数为:在ikeprofile视图下面配置inside-vpnvpn-instance[vpn-name].
2.
2尝试修改配置以及通过debug工具进行验证从以上的分析我们看出如果设备需要转发到不同的vpn实例的话,ikeprofile里面是需要配置inside-vpnvpn-instance这个参数的.
如下配置:#ikeprofileh3ckeychain1matchremoteidentityaddress1.
1.
1.
2255.
255.
255.
255inside-vpnvpn-instancetest//增加这部分配置#配置上以上参数我们通过displayikesa以及displayipsecsa发现还是没有ipsec的建立.
因此通过debuggingikeall发现也没有ike的协商报文过程.
因此怀疑没有触发ipsec的协商.
接下来,我们还可以发现没有触发协商一般就是acl的问题,现在内网接口G0/0加入了vpn实例,那么acl的配置也应该有所修改:acladvanced3010rule0permitipvpn-instancetestsource192.
168.
1.
00.
0.
0.
255destination192.
168.
2.
00.
0.
0.
255接下来,还需要检查路由的配置,内网的报文需要经过设备封装ipsec出外网,那么我们之前配置的静态路由也是需要修改的:iproute-staticvpn-instancetest192.
168.
2.
0241.
1.
1.
2public通过以上配置之后,我们发现重新resetikesa以及resetipsecsa,然后触发ipsec协商发现debug能够抓取到协商的报文以及协商过程.
通过displayikesa以及displayipsecsa能够看到ipsec建立成功.
三、解决办法:通过以上的分析,我们总结了以下几点:1.
配置acl,需要带有vpn实例,保证内网访问发出的协商报文能够触发ipsec协商.
2.
配置路由,带上vpn实例,然后指向对方的地址,需要带有public的参数.
3.
配置ikeprofile,里面需要配置inside-vpnvpn-instancetest.
4.
如果发现ipsec不能建立,建议两边设备的ikesa以及ipsecsa都需要清除一下,然后重新协商就可以了.
因此,本案例最后还建议这种组网的情况下配置dpd检测功能.
10gbiz首月半价月付2.36美元,香港/洛杉矶VPS、硅谷独立服务器/站群服务器
收到10gbiz发来的7月份优惠方案,中国香港、美国洛杉矶机房VPS主机4折优惠码,优惠后洛杉矶VPS月付2.36美元起,香港VPS月付2.75美元起。这是一家2020年成立的主机商,提供的产品包括独立服务器租用和VPS主机等,数据中心在美国洛杉矶、圣何塞和中国香港。商家VPS主机基于KVM架构,支持使用PayPal或者支付宝付款。洛杉矶VPS架构CPU内存硬盘带宽系统价格单核512MB10GB1...
JUSTG(5.99美元/月)最新5折优惠,KVM虚拟虚拟512Mkvm路线
Justg是一家俄罗斯VPS云服务器提供商,主要提供南非地区的VPS服务器产品,CN2高质量线路网络,100Mbps带宽,自带一个IPv4和8个IPv6,线路质量还不错,主要是用户较少,带宽使用率不高,比较空闲,不拥挤,比较适合面向非洲、欧美的用户业务需求,也适合追求速度快又需要冷门的朋友。justg的俄罗斯VPS云服务器位于莫斯科机房,到美国和中国速度都非常不错,到欧洲的平均延迟时间为40毫秒,...
2021年7月最新洛杉矶CN2/香港CN2 vps套餐及搬瓦工优惠码 循环终身优惠6.58%
搬瓦工怎么样?2021年7月最新vps套餐推荐及搬瓦工优惠码整理,搬瓦工优惠码可以在购买的时候获取一些优惠,一般来说力度都在 6% 左右。本文整理一下 2021 年 7 月最新的搬瓦工优惠码,目前折扣力度最大是 6.58%,并且是循环折扣,续费有效,可以一直享受优惠价格续费的。搬瓦工优惠码基本上可能每年才会更新一次,大家可以收藏本文,会保持搬瓦工最新优惠码更新的。点击进入:搬瓦工最新官方网站搬瓦工...
iproute为你推荐
-
Securityasp点击google支付宝蜻蜓发布刷脸支付加盟,支付宝蜻蜓刷脸设备出后,微信也出了青蛙刷脸设备,感觉很有前景,大伙觉得呢?全国企业信息查询全国企业信用信息公示系统查询入口 及操作说明哪里有?波音737起飞爆胎为什么很少见到飞机轮胎爆胎?泉州商标注册泉州注册一个商标具体要怎么弄?具体流程是什么?美国独立美国是什么时候独立的?zencart模板zencart里那些目录分别对应MVC设计模式的模型 视图 和控制器呢?店铺统计怎样查淘宝店铺的销售总额drupal主题Drupal比DEDE等国内CMS好在哪里?