你好,这里是网络技术联盟站。
本文我将分享一个有关 IPSec 单向连接的实验,IPSec VPN生成后,一个站点到另一个站点的流量正常,反之不正常。
问题描述
客户在两台防火墙之间建立IPSec VPN,经测试发现FW2下的用户R3可以ping通FW1下的用户R2,反之则不行。
单向 IPSec VPN 的拓扑故障定位
- 检查FW1上的IKE SA和IPSec SA,结果是正常的。
- 在R2上Ping R3,查看FW1上的会话表,确认FW1是否丢弃流量。
结果显示从 R2 到 R3 (10.1.21.2:53675 --> 10.1.22.2:2048) 的流量在防火墙上没有被丢弃,并且私有流量无需 NAT 直接转发到互联网。
- 检查接口 g1/0/1 配置。
该接口下没有IPSec策略配置
- 由于FW1和FW2之间的IPSec VPN建立正确,所以在g1/0/1接口下没有应用IPSec策略配置。检查接口 g1/0/0 配置。
IPSec VPN 应用在接口 g1/0/0 下。
查看FW1上的路由表,发现防火墙上有两条默认路由,R2到R3的流量hash到g1/0/1接口,而IPSec VPN建立在g1/0/接口0。
根本原因和解决方案
流量被散列到连接并且没有实施 IPSec 策略。
在 FW1 上配置静态路由,明确指定到 R3 的下一跳为 10.1.11.2,使流量通过接口 g1/0/0 转发。
