記IPSec VPN對接故障的排查
記IPSec VPN對接故障的排查
故障1:首次對接不成功
【問題現象】
Sangfor NGAF 與H3C F1030進行IPSec VPN第三方對接,第一階段IKE SA已經協商成功,第二階段IPSec SA協商不成功,提示原因:策略包含不正確的ACL或IKE配置檔案配置。
【排查過程】
Sangfor NGAF 與H3C F1030進行IPSec VPN第三方對接,因在Sangfor BBS上未查到與H3C裝置對接的文章,只能從網上找了一篇與H3C MSR裝置對接的文章照著進行操作,在配置H3C F1030的第一階段IKE引數時,就遇到了一個問題,文章介紹的是V5版本的配置,而當前裝置的版本是V7,配置命令已經作了調整,不再支援原有命令。沒辦法了,只能自己到H3C官網上查詢裝置的配置手冊,再看相關命令,慢慢摸索進行配置,在此不作詳細描述。
Sangfor NGAF 裝置上的配置是按網上文章操作的,配置完成,就等對接成功,便大功告成了。
左等不成,右等不成,千呼萬喚就是不出來。
先從對端來看一下狀態:
<ZT-F1030>disp ike sa verbose
-----------------------------------------------
Connection ID: 1
Outside VPN:
Inside VPN:
Profile: 1
Transmitting entity: Initiator
Initiator cookie: 2c9f239e250d0206
Responder cookie: baabf2fbe3467cc2
-----------------------------------------------
Local IP: 192.168.100.236
Local ID type: FQDN
Local ID: ZT-F1030
Remote IP: 2.34.Y.30
Remote ID type: FQDN
Remote ID: ZX-Sangfor
Authentication-method: PRE-SHARED-KEY
Authentication-algorithm: MD5
Encryption-algorithm: 3DES-CBC
Life duration(sec): 3600
Remaining key duration(sec): 1545
Exchange-mode: Aggressive
Diffie-Hellman group: Group 2
NAT traversal: Detected
Extend authentication: Disabled
Assigned IP address:
Vendor ID index:0xffffffff
Vendor ID sequence number:0x0
===================================================================================
ZT-F1030 IPSEC/6/IPSEC_SA_ESTABLISH_FAIL: Failed to establish IPsec SA.
Reason: The policy contains incorrect ACL or IKE profile configuration.
原因:策略包含不正確的ACL或IKE配置檔案配置。
PolicyName=720896, Seqnum=1.
SA information:
Role: responder.
Local address: 192.168.100.236
Remote address: 2.34.Y.30
Sour addr: 192.168.100.236/255.255.255.255 Port: 0 Protocol: IP
Dest addr: 2.34.Y.30/255.255.255.255 Port: 0 Protocol: IP
Inside VPN instance:
Outside VPN instance:
Inbound AH SPI: 0
Outbound AH SPI: 0
Inbound ESP SPI: 0
Outbound ESP SPI: 0
ACL number: 3999
第一階段IKE SA已經協商成功,第二階段IPSec SA協商不成功,原因:策略包含不正確的ACL或IKE配置檔案配置。
對照配置檔案,兩端配置的引數完全一致,一時也搞不明白原因。
那再從本端來看下除錯日誌:
[ipsec_vpn][message:106] [2.34.X.2<3>] 收到無效的IKE頭部,解析失敗
[ipsec_vpn][packet:317] ipsec_do_recv failed
[ipsec_vpn][ipsec:55] failed to message_create 4294967295
[ipsec_vpn][message:106] [2.34.X.2<3>] 收到無效的IKE頭部,解析失敗
[ipsec_vpn][packet:317] ipsec_do_recv failed
[ipsec_vpn][ipsec:55] failed to message_create 4294967295
也看不出啥明堂。
沒有辦法,從Sangfor BBS上再找了一篇NGAF與Cisco對接的文章,仔細對比,發現配置過程中漏了一步操作,那就是“配置VPN介面”,但到現在也不明白這一步的意義。
【處理過程】
在本端Sangfor NGAF裝置上完成了“配置VPN介面”操作。
完成這一操作後,終於看到久違的連線隧道建立了,兩端都能互相Ping通對方了。
對接成功了。
【問題原因】
在本端Sangfor NGAF裝置上未配置“VPN介面”操作。
故障2:裝置禁用後再次啟用對接不成功
【問題現象】
Sangfor NGAF 與H3C F1030進行IPSec VPN第三方對接,對接已經成功。
因網路測試的需要,11點32分禁用了IPSec VPN對接裝置,測試完成後,11點36分重新啟用裝置,但連線隧道就是建立不起來。
【排查過程】
重新啟用裝置後,連線隧道建立不起來,開始懷疑配置引數發生了改變,又重新配置了一遍。
檢視NGAF上的除錯日誌:
告警 12:37:23 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
告警 12:37:16 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗
告警 12:37:05 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
資訊 12:37:01 [ipsec_vpn][starter:170] 新增第一階段 ZT
資訊 12:37:01 [ipsec_vpn][config:373] 檔案Equipment.vpn發生改變,名字:ZT 改變標記:10000
告警 12:36:56 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗
告警 12:36:52 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
......
告警 12:34:36 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
告警 12:34:36 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗
資訊 12:34:31 [ipsec_vpn][config:373] 檔案OutPolicy.vpn發生改變,名字:ZX-ZT 改變標記:c000
資訊 12:34:25 [ipsec_vpn][config:373] 檔案OutPolicy.vpn發生改變,名字:SJ-ZT 改變標記:c000
告警 12:34:17 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
告警 12:34:16 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗
告警 12:34:01 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
資訊 12:33:58 [ipsec_vpn][config:373] 檔案InPolicy.vpn發生改變,名字:ZT-In 改變標記:8000
告警 12:33:56 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗
告警 12:33:47 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
告警 12:33:41 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
告警 12:33:36 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗
......
告警 12:31:19 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
告警 12:31:16 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗
資訊 12:31:07 [ipsec_vpn][starter:170] 新增第一階段 ZT
資訊 12:31:07 [ipsec_vpn][config:373] 檔案Equipment.vpn發生改變,名字:ZT 改變標記:2010000
告警 12:31:06 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
告警 12:30:56 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗
告警 12:30:51 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
告警 12:30:45 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
告警 12:30:36 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗
告警 12:30:23 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
告警 12:30:22 [ipsec_vpn][ike_sa:1597] [@ZT<ZT-In-ZX-ZT>:2.34.X.2<167><c6fda82b418d2ddc:05b3f1eb>] 跟2.34.X.2<167>建立連線超時,狀態:out-1_in-0
告警 12:30:22 [ipsec_vpn][ike_sa:1597] [@ZT<ZT-In-SJ-ZT>:2.34.X.2<167><c6fda82b418d2ddc:41a13ee9>] 跟2.34.X.2<167>建立連線超時,狀態:out-1_in-0
告警 12:30:16 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗
告警 12:30:08 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
告警 12:29:56 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗
告警 12:29:48 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
告警 12:29:37 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
告警 12:29:36 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗
告警 12:29:21 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
告警 12:29:16 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗
告警 12:29:15 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
告警 12:29:02 [ipsec_vpn][payload_notify:204] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 收到對端的通知:錯誤的提議格式, 詳情:請檢查第一階段的安全提議是否配置一致, 包括加密演算法/認證演算法/DH群/生存期
告警 12:29:02 [ipsec_vpn][payload_notify:204] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 收到對端的通知:錯誤的提議格式, 詳情:請檢查第一階段的安全提議是否配置一致, 包括加密演算法/認證演算法/DH群/生存期
告警 12:28:58 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
告警 12:28:56 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗
告警 12:28:52 [ipsec_vpn][payload_notify:204] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 收到對端的通知:錯誤的提議格式, 詳情:請檢查第一階段的安全提議是否配置一致, 包括加密演算法/認證演算法/DH群/生存期
告警 12:28:52 [ipsec_vpn][payload_notify:204] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 收到對端的通知:錯誤的提議格式, 詳情:請檢查第一階段的安全提議是否配置一致, 包括加密演算法/認證演算法/DH群/生存期
告警 12:28:42 [ipsec_vpn][payload_notify:204] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 收到對端的通知:錯誤的提議格式, 詳情:請檢查第一階段的安全提議是否配置一致, 包括加密演算法/認證演算法/DH群/生存期
告警 12:28:42 [ipsec_vpn][payload_notify:204] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 收到對端的通知:錯誤的提議格式, 詳情:請檢查第一階段的安全提議是否配置一致, 包括加密演算法/認證演算法/DH群/生存期
告警 12:28:36 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
告警 12:28:36 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗
告警 12:28:32 [ipsec_vpn][payload_notify:204] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 收到對端的通知:錯誤的提議格式, 詳情:請檢查第一階段的安全提議是否配置一致, 包括加密演算法/認證演算法/DH群/生存期
告警 12:28:32 [ipsec_vpn][payload_notify:204] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 收到對端的通知:錯誤的提議格式, 詳情:請檢查第一階段的安全提議是否配置一致, 包括加密演算法/認證演算法/DH群/生存期
資訊 12:28:32 [ipsec_vpn][exchange:1357] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 開始協商第二階段[ZT-In-ZX-ZT]
資訊 12:28:32 [ipsec_vpn][exchange:1357] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 開始協商第二階段[ZT-In-SJ-ZT]
告警 12:28:20 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
告警 12:28:16 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗
資訊 12:28:05 [ipsec_vpn][exchange:708] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 第一階段安全聯盟協商成功.
資訊 12:28:05 [ipsec_vpn][payload_natd:86] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 遠端在NAT後
資訊 12:28:05 [ipsec_vpn][payload_natd:84] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 本端在NAT後
告警 12:28:03 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
資訊 12:27:55 [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 對端支援NATT, 最高支援的版本為NATT_IETF_00
資訊 12:27:55 [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 對端支援NATT, 最高支援的版本為NATT_IETF_02_N
資訊 12:27:55 [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 對端支援NATT, 最高支援的版本為NATT_IETF_03
資訊 12:27:55 [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 對端支援NATT, 最高支援的版本為NATT_RFC
資訊 12:27:55 [ipsec_vpn][vendor:316] [@ZT:2.34.X.2<167><c6fda82b418d2ddc:00000000>] 對端支援DPD
資訊 12:27:55 [ipsec_vpn][exchange:573] [2.34.X.2<167>] 響應對端第一階段的協商 , 使用配置ZT:2.34.Y.30<0>, 開始建立sa
告警 12:27:55 [ipsec_vpn][ike_setting:1023] 線上路1上沒有找到地址為2.34.X.2<167>的第一階段配置
告警 12:27:55 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗
告警 12:27:52 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
告警 12:27:46 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
......
告警 12:24:55 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗
告警 12:24:53 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
資訊 11:36:09 [ipsec_vpn][starter:170] 新增第一階段 ZT
資訊 11:36:09 [ipsec_vpn][config:373] 檔案Equipment.vpn發生改變,名字:ZT 改變標記:2010000
資訊 11:33:57 [ipsec_vpn][starter:170] 新增第一階段 ZT
資訊 11:33:57 [ipsec_vpn][config:373] 檔案Equipment.vpn發生改變,名字:ZT 改變標記:10001
告警 11:32:27 [ipsec_vpn][ike_setting:205] 裝置ZT已經被禁用
資訊 11:32:27 [ipsec_vpn][config:373] 檔案Equipment.vpn發生改變,名字:ZT 改變標記:10001
實在沒有辦法了,12點42分,提單請求技術支援。
很快(2-3分鐘吧,是很快吧。等著可覺得時間老長老長的),400工程師有了響應。
建立遠端後,400工程師很快(同樣是2-3分鐘吧,很長吧。可一邊看著操作,一邊交流網路環境,覺得時間過的很快)給出了問題原因:本端斷開隧道後,對端並不認為隧道已經斷開,還在繼續傳送後續資料,而未再從頭開始進行協商。
給出的解決辦法是:在對端裝置上清除原有的連線狀態,重新開始進行協商。
因兩端相隔距離較遠,對端又無法進行遠端操作,且配置的IKE SA超時時間是3600秒,估計到現場操作的話,因超時時間已到,隧道也已經恢復,故採取的操作是等待對端連線超時,重新開始連線協商。
【處理過程】
1 、超時時間一到,立馬重新開始協商,隧道成功建立。
資訊 13:21:58 [ipsec_vpn][exchange:830] [@ZT<ZT-In-ZX-ZT>:2.34.X.2<44418><3da13a5d187659c7:1a025cdb>] 第二階段安全聯盟協商成功,隧道已經建立.
資訊 13:21:58 [ipsec_vpn][exchange:830] [@ZT<ZT-In-SJ-ZT>:2.34.X.2<44418><3da13a5d187659c7:e141a13e>] 第二階段安全聯盟協商成功,隧道已經建立.
資訊 13:21:58 [ipsec_vpn][exchange:1357] [@ZT:2.34.X.2<44418><3da13a5d187659c7:00000000>] 開始協商第二階段[ZT-In-ZX-ZT]
資訊 13:21:58 [ipsec_vpn][exchange:1357] [@ZT:2.34.X.2<44418><3da13a5d187659c7:00000000>] 開始協商第二階段[ZT-In-SJ-ZT]
資訊 13:21:56 [ipsec_vpn][exchange:708] [@ZT:2.34.X.2<44418><3da13a5d187659c7:00000000>] 第一階段安全聯盟協商成功.
資訊 13:21:56 [ipsec_vpn][payload_natd:86] [@ZT:2.34.X.2<44418><3da13a5d187659c7:00000000>] 遠端在NAT後
資訊 13:21:56 [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><3da13a5d187659c7:00000000>] 對端支援NATT, 最高支援的版本為NATT_IETF_00
資訊 13:21:56 [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><3da13a5d187659c7:00000000>] 對端支援NATT, 最高支援的版本為NATT_IETF_02_N
資訊 13:21:56 [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><3da13a5d187659c7:00000000>] 對端支援NATT, 最高支援的版本為NATT_IETF_03
資訊 13:21:56 [ipsec_vpn][vendor:337] [@ZT:2.34.X.2<167><3da13a5d187659c7:00000000>] 對端支援NATT, 最高支援的版本為NATT_RFC
資訊 13:21:56 [ipsec_vpn][vendor:316] [@ZT:2.34.X.2<167><3da13a5d187659c7:00000000>] 對端支援DPD
資訊 13:21:56 [ipsec_vpn][exchange:573] [2.34.X.2<167>] 響應對端第一階段的協商, 使用配置ZT:2.34.Y.30<0>, 開始建立sa
告警 13:21:56 [ipsec_vpn][ike_setting:1023] 線上路1上沒有找到地址為2.34.X.2<167>的第一階段配置
告警 13:21:56 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗
告警 13:21:45 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
告警 13:21:36 [ipsec_vpn][message:106] [2.34.X.2<167>] 收到無效的IKE頭部,解析失敗
......
告警 13:15:22 [ipsec_vpn][exchange:1024] 2.34.X.2<167> 收到無效資料包,沒有找到對應的第一階段連線
資訊 13:15:21 [ipsec_vpn][starter:170] 新增第一階段 ZT
2 、在除錯日誌上,看到提示: 對端支援DPD。
在對端裝置上,配置IPSec VPN隧道的DPD檢測,本端裝置上也勾選“啟用DPD”。
配置完成後,再次測試,隧道斷開後能很快自動恢復。
【問題原因】
1 、兩端 野蠻模式對接,本端只能作為響應端被動應答,不能作為發起端主動發起連線;
2 、對端作為發起端,未配置隧道狀態檢測;
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/81227/viewspace-2670438/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 解析天翼雲IPsec VPN和SSL VPN的區別
- 基於Linux和IPSec的VPN閘道器Linux
- CentOS快速搭建IPsec/L2TP VPNCentOS
- Linux對ipsec的支援Linux
- 記一次詭異的故障排查經歷
- rsync 故障排查整理
- 應用故障排查
- 光纖故障診斷和故障排查
- Centos 伺服器系統記憶體故障排查CentOS伺服器記憶體
- MogDB openGauss故障排查流程
- IPSEC VPN閘道器構建高安全性的資料採集系統
- 解Bug之路-記一次儲存故障的排查過程
- 故障分析 | 租戶 memstore 記憶體滿問題排查記憶體
- 故障排查工具-strace,tcpdump的簡單使用TCP
- 伺服器的路由故障怎麼排查伺服器路由
- 程式設計師筆記|常見的SpringMVC故障排查及解決方案程式設計師筆記SpringMVC
- 004.OpenShift命令及故障排查
- linux出現故障字符集亂碼故障排查思路Linux
- Linux CPU 上下文切換的故障排查Linux
- Java 8 記憶體管理原理解析及記憶體故障排查實踐Java記憶體
- SANGFOR NGAF與H3C SecPath系列(V7)防火牆第三方IPsec對接防火牆
- IPsec
- 伺服器網路故障如何排查伺服器
- kubernetes實踐之五十三:Service中的故障排查
- 醫院運維 告警閃現後的故障排查運維
- SANGFOR NGAF雙機主備專線故障的排查
- 記錄用友T+介面對接的心酸歷程
- DBA:這有一份對接NBU備份故障排除指南,請查收!
- 線上故障的排查清單,運維拿走不謝!運維
- 應對介面級的故障
- 亞信安慧AntDB零故障割接方案的實踐
- JVM線上CPU 飈高故障排查基本操作JVM
- 在Linux中,如何進行系統故障排查?Linux
- 在Linux中,如何進行網路故障排查?Linux
- ElasticSearch- 單節點 unassigned_shards 故障排查Elasticsearch
- dpdk-lvs的一次線上故障排查報告
- IPsec知識
- 記錄之前一次掃描槍對接的經歷