华为 Ensp 实现 IPSec 单向连接

2022-06-09 10:30:33 浏览数 (2)

你好,这里是网络技术联盟站。

本文我将分享一个有关 IPSec 单向连接的实验,IPSec VPN生成后,一个站点到另一个站点的流量正常,反之不正常。

问题描述

客户在两台防火墙之间建立IPSec VPN,经测试发现FW2下的用户R3可以ping通FW1下的用户R2,反之则不行。

单向 IPSec VPN 的拓扑单向 IPSec VPN 的拓扑

故障定位

  1. 检查FW1上的IKE SA和IPSec SA,结果是正常的。
  1. 在R2上Ping R3,查看FW1上的会话表,确认FW1是否丢弃流量。

结果显示从 R2 到 R3 (10.1.21.2:53675 --> 10.1.22.2:2048) 的流量在防火墙上没有被丢弃,并且私有流量无需 NAT 直接转发到互联网。

  1. 检查接口 g1/0/1 配置。

该接口下没有IPSec策略配置

  1. 由于FW1和FW2之间的IPSec VPN建立正确,所以在g1/0/1接口下没有应用IPSec策略配置。检查接口 g1/0/0 配置。

IPSec VPN 应用在接口 g1/0/0 下。

查看FW1上的路由表,发现防火墙上有两条默认路由,R2到R3的流量hash到g1/0/1接口,而IPSec VPN建立在g1/0/接口0。

根本原因和解决方案

流量被散列到连接并且没有实施 IPSec 策略。

在 FW1 上配置静态路由,明确指定到 R3 的下一跳为 10.1.11.2,使流量通过接口 g1/0/0 转发。

0 人点赞