IPsecVPN故障排除手册.doc

IPsec VPN故障排除手册Version1.0迈普技术服务中心2008-05-01一、迈普公司VPN产品简介 迈普公司VPN产品型号还是比较多，包括IPsec VPN产品型号：VPN3030、老VPN3020、VPN3020B、VPN3010、VPN3010E、VPN3005B、VPN3005C、VPN3005C-104、VRC以及防火墙产品型号：FW520、FW5051.1根据系统平台区分：VPN3020、FW520：基于linux操作系统采用X86工控机硬件平台。VPN3020支持SSP02硬件加密。FW520不支持SSP02算法，VPN3020和FW520不支持迈普CMS颁发证书并通过预共享方式建立VPN。FW505：基于linux操作系统采用800路由器硬件平台，FW505不支持SSP02算法。VPN3020B：基于vxworks操作系统采用3740路由器硬件平台。支持硬件通用加密卡。VPN3005B：基于vxworks操作系统采用800路由器硬件平台。不支持硬件通用加密卡。VPN3010/3010E：基于vxworks操作系统采用定制的269硬件平台。VPN3010E支持硬件通用加密卡。VPN3005C：基于vxworks操作系统采用2600CD路由器硬件平台。不支持硬件通用加密卡。VPN3005C104：基于vxworks操作。VRC：纯软件IPsec。支持WINDOWS平台。1.2产品形态(只介绍目前在售产品) MPSec VPN3020B具有4个多功能插槽（MIM），标配2个千兆光/电自选以太口，最多支持6个以太接口，密文吞吐量达到200Mbps，支持双电源冗余、业务板卡热插拔。MPSec VPN3010E标配4个百兆以太口，最多支持4个以太接口，密文吞吐量达到50Mbps。MPSec VPN3005C标配2个百兆以太口，最多支持3个以太接口，密文吞吐量达到10Mbps，并提供VoIP插槽可插入VoIP语音模块实现VoIP与VPN的融合。MPSec VPN3005C-104标配5个百兆以太口，密文吞吐量达到2Mbps。二、IPsec配置简要说明VPN的配置可以通过两种方式来配置，一是手工配置，另外一种是通过网管方式获取配置。网管方式相对比较简单，在网管服务器上添加节点参数和相关资源后，只需要在VPN设备上添加简单的初始化参数后即可获取配置。2.1网管方式VPN的配置 配置上网参数 该处只需要保证该设备能够连接上公网，同时需要指定一个默认路由，该路由指向外出IP或接口。 配置上点参数 请进入shell配置界面，进入config模式，然后输入 (config)#crypto init-config 分别配置user-name，password，以及中心VPN的地址server address，完成后的结果如下 crypto init-config server address user-name test password 3ee86377cf3de377 exit 获取上点配置 在enable模式下，输入 start crypto init-config 如果返回成功的话，该VPN就已经获取了必需的初始配置，以对应安全用户的身份加入了PM3的管理范围了，最后保存一下配置就可以了。 网管方式的配置只需要上述三步即可。2.2 手工配置关键配置：预共享密钥或证书、保护数据流、对端地址、IKE和IPsec使用的加密算法。具体命令和软件版本有关。预共享密钥配置：crypto ike key any|address |identity 当指定identiey关键字时，常常是用于积极模式协商（主模式的情况下ID是被加密的，没有办法找到对应的密钥，就无法协商。），可以支持通配符。例如：crypto ike key maipu identity *.该命令是说，对所有ID后缀是的协商是用密钥为maipu。证书的配置是用：配置证书服务器（地址、证书类型）、下载证书服务器证书、下载设备证书。cry ca identity /配置证书服务器信息ca type ctca|mpcms|windows/配置证书服务器类型。ctca：上海电信CA。enrollment address |url /配置证书服务器地址crypto ca authenticate /下载CA服务器证书crypto ca enroll 1024|2048|512 /下载设备证书。1024/2048/512指RSA密钥长度。driver_name：指设备在证书服务器上注册的用户名。CMS必须先注册，windows证书服务器不需要。是用证书或是用预共享密钥方式都主要是在IKE协商阶段用来作身份验证。和后期的IPsec数据加密无关。保护数据流：crypto policy flow tunnel bypassBypass属性使该策略在没有对应的SA存在时允许报文以明文方式转发。主要解决当保护数据流包括内网口地址，访问内网口的问题。在IPsec作为备份线路中也需要使用。隧道属性：crypto tunnel peer any |address A.B.C.D|hostname local address A.B.C.D|interface set sec-level basic|high|medium我们将常用的密码算法、密钥安全属性做了总结，形成三个安全等级的配置。在隧道属性配置中可以直接使用这三个等级。crypto security level : basic ike proposal : g1-des-sha1 g1-des-md5 ipsec proposal : esp-nopfs-des-sha1 esp-nopfs-des-md5crypto security level : medium ike proposal : g2-3des-sha1 g2-3des-md5 g2-aes128-sha1 g2-aes128-md5 ipsec proposal : esp-g2-3des-sha1 esp-g2-3des-md5 esp-g2-aes128-sha1 esp-g2-aes128-md5crypto security level : high ike proposal : g5-3des-sha256 g5-aes256-sha256 ipsec proposal : esp-g5-3des-sha256 esp-g5-aes256-sha256在使用中要主意这三个安全等级并没有使用AH协议。VRC配置：主要配置预共享密钥或证书、对端Ipsec网关地址、对端保护网络。三、IPsec VPN常见问题处理 本章重点介绍VPN的故障排除的基本思路，以及分析故障原因和解决问题的常用方的基本思路，以及分析故障原因和解决问题的常用方法。本章内容：n IPsec VPN故障排除基本思路n IPsec VPN常见故障处理n IPsec VPN SA状态信息说明n 调试命令参数解释3.1 IPsec VPN故障排除基本思路当IPsec VPN出现问题时，最直接的表现就是无法通过IPsec VPN访问远端内部网络。按照具体的情况又分为：IPsec隧道无法建立、IPsec隧道建立但无法访问远端内部网络和IPsec隧道时断时连。通过IPsec的debug信息检测问题是比较快的，但需要使用者对debug信息比较熟悉。所以这里介绍针对上面三种情况的一般检测方法。1 IPsec VPN隧道无法建立检测方法：使用show cry ike proposal 和sh cry ipsec proposal 命令查看ike和ipsec的策略两端是否相同。使用sh cry policy 查看两端数据流是否匹配。2 IPsec隧道建立但无法访问远端内部网络检测方法：sh ip esp查看是否有in和out的数据；查看访问列表是否deny了受保护的数据流。3 IPsec隧道时断时连检测方法：查看物理线路是否时通时断；查看是否有网点冲突。3.2 IPsec VPN常见故障处理故障一：IPsec VPN隧道无法建立可能的原因判断方法和解决方案1两端VPN设备无法互通1 从一端VPN设备ping另外一端，看是否能否ping通。如果不通，首先检查网络连接情况。2两端VPN可以ping通，但是相互收不到IKE协商报文1 检查VPN是否配置ACL或者前端是否有防火墙，禁止了IKE协商报文，需要在ACL或者防火墙上开放UDP500/4500端口；2 检查发起方VPN的内网口是否UP，特别是3005C-104以SW接口作为内网口，LAN口上没有接PC，SW口无法UP，将导致扩展ping不通对端。3两端VPN采用证书认证方式，但是没有证书或者证书无效；采用预共享密钥方式认证没有配置密码1 通过show cry ike sa查看IKE隧道状态没有任何信息；2 打开debug cry ike normal，提示%IKE-ERR: cant initiate, no available authentication material (cert/psk) ；3 sh crypto ca certificates，查看证书是否有效。4两端IKE和IPsec策略不一致1. 如果采用主模式，查看IKE状态停止在STATE_MAIN_I1，采用积极模式，IKE状态停止在STATE_AGGR_I1，说明可能是两端策略不一致，通过show cry ike proposal和show cry ipsec proposal查看两端策略是否相同；2. 打开debug cry ike normal，提示ignoring notification payload, type NO_PROPOSAL_CHOSEN 。5两端VPN设备配置了ID不是IP地址作为身份标识，而是域名或者其他，但是采用IKE协商采用主模式1 查看IKE KEY配置了identity，但是tunnel配置中配置了set mode main；2 查看IKE状态停止在STATE_MAIN_I1状态。6对端VPN设备配置错误ID或者没有配置ID1 查看IKE KEY配置了identity，但是tunnel配置中没有配置ID；2 查看IKE状态停止在STATE_AGGR_I1状态；3 有%IKE-ERR: Aggressive Mode packet from :500 has invalid ID报错。7两端VPN设备不支持NAT穿越1 如果采用主模式，查看IKE状态停止在STATE_MAIN_I2状态，说明有可能VPN不支持NAT穿越，我们VPN默认支持，一般可能其他厂家VPN不支持。8两端VPN设备预共享密钥不一致1. 如果采用主模式，查看IKE状态停止在STATE_MAIN_I3状态，说明有可能两端VPN预共享密钥配置不一致；2. 通过show run cry key查看两端的KEY是否相同。9两端保护数据流不匹配1. 查看IKE状态停止在STATE_QUICK_I1状态，说明有可能两端VPN预共享密钥配置不一致；2. 通过show cry ipsec sa查看没有ipsec隧道；3. 日志中有报错：%IKE-ERR: cannot respond to IPsec SA request for instance-65666: /8:0/0 = (). ()= /16:0/0& 注：IKE第一阶段采用积极模式，因为积极模式进行IKE协商同时传送与SA、密钥交换和认证相关的载荷，所以一般IKE的错误都将导致IKE SA的状态为STATE_AGGR_I1。因此上述对IKE第一阶段问题判断基本都是基于主模式。 故障二：VPN隧道通，无法办理业务可能的原因判断方法和解决方案1业务数据走NAT，没有走VPN隧道1. 设备配置了NAT转换，访问列表没有将VPN的业务数据deny，可以查看访问列表来判断；2. 可以通过show cry ipsec sa或者show ip esp查看output的数据一直没有增加；3. 修改访问列表，拒绝VPN数据走NAT转换。2要访问服务器没有路由指向对端VPN网关或者网关设置不对1. 在中心端VPN设备上ping服务器看能否ping通；2. 第一步可以ping通，则可以在客户端VPN设备上通过show cry ipsec sa或者show ip esp查看output的数据有增加，但是input的数据一直没有增加，在中心端VPN设备相反，有input的数据，但是没有output;3. 设置服务器对应的下端网段路由应该指向中心IPsec VPN设备的内网口。3线路PMTU导致大数据包丢弃1. 某些业务软件（例如一些财务软件或者登陆需要下载大量数据的应用程序）可以出现登陆界面，但是输入用户名密码后一直没有反应；2. 客户端采用默认ping包可以ping通服务器，ping大包不通；3. 可以修改服务器网卡的MTU线路PMTU。故障三：VPN时通时断可能的原因判断方法和解决方案1公网连接不稳定1. 通过ping测试检测物理线路问题；2. 直接用PC接在公网线路测试看看是否会断；3. 如果是动态拨号，可以更改idletimeout为0。2某次线路故障造成两端的IPsec SA不能够同步1. 查看两端VPN设备是否关闭了DPD；2. 通过show cry ipsec sa查看两端SPI是否不相同;3. 在两端手工清除隧道重新建立或者设置DPD解决不同步问题。3分支机构VPN配置重复1. 隧道时断时连表现为当只有一个下端的时候一切正常，但当第二个或某个特定下端连接上来的时候，出现只有一个能正确建立IPsec隧道或时断时连；2. 在中心VPN设备检查某个分支机构不能建立VPN隧道时却有相关的IPsec数据流；3. 可以在分支机构VPN上更换网段测试或者配置使用积极模式，配置不通的标识ID。3.3 IPsec VPN SA状态信息说明在进行VPN故障排除过程中，经常要查看IPsec VPN SA状态，这里有必要对SA显示信息做以说明，以便排查问题。正常情况下，每个分支结构对应两条IKE SA条目，且一般分支机构都是VPN发起方。当我们在分支机构VPN的特权模式下，键入show crypto ike sa后，显示IKE SA信息如下：localaddr peeraddr peer-identity negotiation-state sa-id STATE_QUICK_I2 346 STATE_MAIN_I4 3451、localaddr：发起IKE SA的本端地址，这里为公网接口地址；2、peeraddr：IKE SA的对端地址，为对端VPN的公网接口地址；3、peer-identity：对端标识，如果采用证书方式，显示为CN=xxxx；4、negotiation-state：隧道状态，IKE第一阶段协商分主模式和积极模式，主模式为MAIN，积极模式为AGGR，本例第一阶段采用主模式，IKE第二阶段协商都是QUICK模式。关键字“I”代表IKE发起方，相应方用“R”表示；5、sa-id：SA的ID号。& 注：IKE的状态根据发起方和相应方状态有所区别，根据IKE第一阶段采用模式也有所区别，发起方正常情况状态，主模式时为STATE_QUICK_I2和STATE_MAIN_I4，积极模式时为STATE_QUICK_I2和STATE_AGGR_I2。相应正常情况状态，主模式时为STATE_QUICK_R2和STATE_MAIN_R3，积极模式时为STATE_QUICK_R2和STATE_AGGR_R2。当在VPN的特权模式下，键入show crypto ipsec sa后，显示IPsec SA信息如下：VPN#show crypto ipsec sa1 policy name : p2 f (src, dst, protocol, src port, dst port) : /22 /8 ip any any3 local tunnel endpoint : remote tunnel endpoint : 4 the pairs of ESP ipsec sa : id : 18933, algorithm : DES HMAC-SHA1-965 inbound esp ipsec sa : spi : 0X562f2161(1445929313)6 current input 0 packets, 0 kbytes7 encapsulation mode : Tunnel8 replay protection : ON9 remaining lifetime (seconds/kbytes) : 1244/460800010 uptime is 7 hour 39 minute 16 second11 outbound esp ipsec sa : spi : 0Xd2a40215(3533963797)12 current output 0 packets, 0 kbytes13 encapsulation mode : Tunnel14 replay protection : ON15 remaining lifetime (seconds/kbytes) : 1244/460800016 uptime is 7 hour 39 minute 16 second显示信息内容1 IPsec策略名称2 源网段、目的网段、协议、源端口和目的端口3 显示隧道的本地公网地址为和对端公网地址4 显示隧道为ESP模式，ID号为18933，使用算法为DES HMAC-SHA1-965 显示inbound的SPI号为0X562f2161(1445929313)6 显示隧道入方向的接收到的数据包个数和字节数7、13 显示封装模式为隧道模式8、14 重放保护状态为开启9、15 显示隧道的lifetime，以时间为单位和以字节数为单位表示10、16 显示隧道建立时间11 显示inbound的SPI号为0Xd2a40215(3533963797)12 显示隧道出方向的发送的数据包个数和字节数3.4 调试命令参数解释n debug crypto ike命令【命令说明】打开IKE调试开关【命令格式】vpn#debug crypto ike all | crypt | dns | downloaded-script | emitting | event | kernel | lifecycle | natt | normal | parsing | private | raw | syslogvpn#no debug crypto ike all | crypt | dns | downloaded-script | emitting | event | kernel | lifecycle | natt | normal | parsing | private | raw | syslog【参数说明】参数描述all所有IKE调试信息cryptIKE算法相关的调试信息dnsIKE协商过程中与DNS相关的调试信息downloaded-script配置下载过程的调试信息emittingIKE协商过程中发出报文的详细内容eventIKE的时钟事件相关调试信息kernelIKE与内核之间的调试信息lifecycleIKE协商过程中与生存期相关的调试信息nattIKE协商过程中与NAT穿越相关的调试信息normalIKE协商过程中通常使用的调试信息parsingIKE协商过程中接收到的报文内容调试信息rawIKE协商报文的原始内容调试信息syslogIKE发送给SYSLOG服务器的调试信息n debug crypto ipsec 命令【命令说明】显示IPsec 调试信息【命令格式】vpn#debug crypto ipsec all | normal | pfa | ipcomp | address tx|rx | packet tx|rx |fragmentvpn#no debug crypto ipsec【参数说明】参数描述all打开所有IPsec调试信息normal打开通常使用IPsec调试信息pfa打开IPsec PFA的调试信息ipcomp打开IPComp的调试信息address tx|rx打开IP报文地址调试信息，tx:显示外出报文地址信息，rx：显示内入报文地址信息，不指定则显示双向地址信息。packet tx|rx打开IP报文内容调试信息，tx:显示外出报文内容信息，rx：显示内入报文内容信息，不指定则显示双向内容信息。fragment打开IP报文为分片时调试处理信息【配置模式】特权用户模式3.5 IKE错误信息（以下只是信息的关键语句）及原因信息原因信息1：00:24:20: %IKE-DBG-received Vendor ID payload draft-ietf-ipsec-nat-t-ike-0300:24:20: %IKE-DBG-ignoring Vendor ID payload draft-ietf-ipsec-nat-t-ike-0200:24:20: %IKE-DBG-ignoring Vendor ID payload draft-ietf-ipsec-nat-t-ike-0000:24:20: %IKE-DBG-received Vendor ID payload Dead Peer D