2020版H3C网络IPSec VPN故障排查

IPSecVPN故障排查一、开始IPSecVPN是一种很常用的三层VPN技术，它可以保证数据通信的机密性、完整性，还可以实现数据源验证、防重放报文等安全功能。IPSecVPN的相关问题需要综合考虑路由、IKE、IPSec位故障的思路是：先查路由、再查IKE和IPSec模块，最后查看安全策略。1、查看隧道两端设备互通情况要想保证IPSecVPN隧道建立成功，首先需要保证隧道两端设备通信正常，IKE端口500或者4500）能够正常交互。先查看两端VPN设备的路由或者通过ping等手段测试网络互通情况，然后检查对端设备及中间防火墙的配置确保UDP500或者4500端口开放。在本地可以通过抓包或者debugIKE的方法确认是否收到对端设备发送的IKE报文，但是如果设备配置多个IKEPeer时，不建议采用debugIKE的方法。命令：pingx.x.x.x2、检查公网路由如果不能ping通隧道对端地址，或者无法收到对端发送的IKE报文，需要检查两端设备之间的路由和安全策略配置。不同设备的安全策略配置不同，具体参考对应设备的配置手册。命令：displayiprouting-tablex.x.x.x例如：通过命令查看本地设备到达隧道对端地址60.191.99.142的路由是否正常。3、查看IPSecSA如果IPSecSA是通过手工建立的，需要仔细查看两端设备SA的相关参数配置是否正确，如果IPSecSA是通过IKE协议动态协商的，那么需要查看两端IPSecSA是否已经建立，并检查两端SA的SPI。正常情况下两端设备的Inbound和OutboundSA是相互对应的，保护数据流（flow）命令：displayipsecsa{brief|remote}例如：通过命令查看，可以确认IPSecVPN的SA已经正常建立，SPI和保护的数据流（FLOW）4、查看IKESA查看VPN设备上IKE第一阶段和第二阶段SA命令：displayikesa{verbose}例如：通过命令查看，可以确认IKE第一阶段和第二阶段的SA已经正常建立。7、检查私网路由私网路由就是指被IPSecVPN保护的数据流的路由，主要是查看两端VPN是否正常，VPN设备上到对端私网的路由是否从配置IPSec出去等信息。命令：displayiprouting-table例如：通过命令查看，可以确认VPN设备到达本端私网网段192.168.1.0/24的路由正常，到达对端私网网段192.168.2.0/24的路由也已经存在，而且出接口就是下发IPSecVPN策略的接口。5、检查IKE配置检查VPN隧道两端设备IKE相关配置是否正确，包括ikelocal-name、ikeproposal以及ikepeer等配置。命令：displaycurrent-configurationdisplayikeproposaldiplayikepeer例如：通过命令查看ikelocal-name、ikeproposal、ikepeer等相关配置是否正确。6、检查IPSec配置查看隧道两端设备IPSec策略的封装模式、加密及认证方式是否一致，保护的数据流是否对应，以及IPSec策略是否正确下发等内容。命令：displayaclnumberdisplayipsectransform-setdisplayipsecpolicydisplaycurrent-configurationinterface例如：通过命令查看IPSec的ACL、安全协议、加密认证算法等相关配置。版权所有:杭州华三通信技术有限公司8、检查域间策略或者包过滤配置在某些情况下有可能会在设备上配置IPSecVPN的同时也配置了相关包过滤或者域间策略等功能，为了保证VPN隧道能够正常建立和通信，需要在配置包过滤策略时允许IPSecVPN的协议报文以及加解密后的数据报文通过。命令：displaycurrent-con