IPsecVPN故障排除手册

IPsecVPN故障排除手册Version1.0迈普技术服务中心2008-05-01一、迈普公司VPN产品简介迈普公司VPN产品型号还是比较多，包括IPsecVPN产品型号：VPN3030、老VPN3020、VPN3020B、VPN3010、VPN3010E、VPN3005B、VPN3005C、VPN3005C-104、VRC以及防火墙产品型号：FW520、FW5051.1根据系统平台区分：VPN3020、FW520：基于linux操作系统采用X86工控机硬件平台。VPN3020支持SSP02硬件加密。FW520不支持SSP02算法，VPN3020和FW520不支持迈普CMS颁发证书并通过预共享方式建立VPN。FW505：基于linux操作系统采用800路由器硬件平台，FW505不支持SSP02算法。VPN3020B：基于vxworks操作系统采用3740路由器硬件平台。支持硬件通用加密卡。VPN3005B：基于vxworks操作系统采用800路由器硬件平台。不支持硬件通用加密卡。VPN3010/3010E：基于vxworks操作系统采用定制的269×硬件平台。VPN3010E支持硬件通用加密卡。VPN3005C：基于vxworks操作系统采用2600CD路由器硬件平台。不支持硬件通用加密卡。VPN3005C－104：基于vxworks操作。VRC：纯软件IPsec。支持WINDOWS平台。1.2产品形态(只介绍目前在售产品)MPSecVPN3020B具有4个多功能插槽（MIM），标配2个千兆光/电自选以太口，最多支持6个以太接口，密文吞吐量达到200Mbps，支持双电源冗余、业务板卡热插拔。MPSecVPN3010E标配4个百兆以太口，最多支持4个以太接口，密文吞吐量达到50Mbps。MPSecVPN3005C标配2个百兆以太口，最多支持3个以太接口，密文吞吐量达到10Mbps，并提供VoIP插槽可插入VoIP语音模块实现VoIP与VPN的融合。MPSecVPN3005C-104标配5个百兆以太口，密文吞吐量达到2Mbps。二、IPsec配置简要说明VPN的配置可以通过两种方式来配置，一是手工配置，另外一种是通过网管方式获取配置。网管方式相对比较简单，在网管服务器上添加节点参数和相关资源后，只需要在VPN设备上添加简单的初始化参数后即可获取配置。2.1网管方式VPN的配置配置上网参数该处只需要保证该设备能够连接上公网，同时需要指定一个默认路由，该路由指向外出IP或接口。配置上点参数请进入shell配置界面，进入config模式，然后输入(config)#cryptoinit-config分别配置user-name，password，以及中心VPN的地址serveraddress，完成后的结果如下cryptoinit-configserveraddress202.21.1.1user-nametestpassword3ee86377cf3de377€exit获取上点配置在enable模式下，输入startcryptoinit-config如果返回成功的话，该VPN就已经获取了必需的初始配置，以对应安全用户的身份加入了PM3的管理范围了，最后保存一下配置就可以了。网管方式的配置只需要上述三步即可。2.2手工配置关键配置：预共享密钥或证书、保护数据流、对端地址、IKE和IPsec使用的加密算法。具体命令和软件版本有关。预共享密钥配置：cryptoikekeypassword{any|addressA.B.C.D|identityidstring}当指定identiey关键字时，常常是用于积极模式协商（主模式的情况下ID是被加密的，没有办法找到对应的密钥，就无法协商。），可以支持通配符。例如：cryptoikekeymaipuidentity*.maipu.com该命令是说，对所有ID后缀是maipu.com的协商是用密钥为maipu。证书的配置是用：配置证书服务器（地址、证书类型）、下载证书服务器证书、下载设备证书。crycaidentityCAstring//配置证书服务器信息catype{ctca|mpcms|windows}//配置证书服务器类型。ctca：上海电信CA。enrollment{addressstring|urlstring}//配置证书服务器地址cryptocaauthenticateCAstring//下载CA服务器证书cryptocaenrollCAstring{1024|2048|512}driver_name//下载设备证书。1024/2048/512指RSA密钥长度。driver_name：指设备在证书服务器上注册的用户名。CMS必须先注册，windows证书服务器不需要。是用证书或是用预共享密钥方式都主要是在IKE协商阶段用来作身份验证。和后期的IPsec数据加密无关。保护数据流：cryptopolicystringflowlocal_netremote_netprotocoltunneltunnel_namebypassBypass属性使该策略在没有对应的SA存在时允许报文以明文方式转发。主要解决当保护数据流包括内网口地址，访问内网口的问题。在IPsec作为备份线路中也需要使用。隧道属性：cryptotunnelstringpeer{any|addressA.B.C.D|hostnamestring}local{addressA.B.C.D|interfaceinter_name}setsec-level{basic|high|medium}我们将常用的密码算法、密钥安全属性做了总结，形成三个安全等级的配置。在隧道属性配置中可以直接使用这三个等级。cryptosecuritylevel:basicikeproposal:g1-des-sha1g1-des-md5ipsecproposal:esp-nopfs-des-sha1esp-nopfs-des-md5cryptosecuritylevel:mediumikeproposal:g2-3des-sha1g2-3des-md5g2-aes128-sha1g2-aes128-md5ipsecproposal:esp-g2-3des-sha1esp-g2-3des-md5esp-g2-aes128-sha1esp-g2-aes128-md5cryptosecuritylevel:highikeproposal:g5-3des-sha256g5-aes256-sha256ipsecproposal:esp-g5-3des-sha256esp-g5-aes256-sha256在使用中要主意这三个安全等级并没有使用AH协议。VRC配置：主要配置预共享密钥或证书、对端Ipsec网关地址、对端保护网络。三、IPsecVPN常见问题处理本章重点介绍VPN的故障排除的基本思路，以及分析故障原因和解决问题的常用方的基本思路，以及分析故障原因和解决问题的常用方法。本章内容：IPsecVPN故障排除基本思路IPsecVPN常见故障处理IPsecVPNSA状态信息说明调试命令参数解释3.1IPsecVPN故障排除基本思路当IPsecVPN出现问题时，最直接的表现就是无法通过IPsecVPN访问远端内部网络。按照具体的情况又分为：IPsec隧道无法建立、IPsec隧道建立但无法访问远端内部网络和IPsec隧道时断时连。通过IPsec的debug信息检测问题是比较快的，但需要使用者对debug信息比较熟悉。所以这里介绍针对上面三种情况的一般检测方法。1．IPsecVPN隧道无法建立检测方法：使用showcryikeproposalstring和shcryipsecproposalstring命令查看ike和ipsec的策略两端是否相同。使用shcrypolicystring查看两端数据流是否匹配。2．IPsec隧道建立但无法访问远端内部网络检测方法：shipesp查看是否有in和out的数据；查看访问列表是否deny了受保护的数据流。3．IPsec隧道时断时连检测方法：查看物理线路是否时通时断；查看是否有网点冲突。3.2IPsecVPN常见故障处理故障一：IPsecVPN隧道无法建立可能的原因判断方法和解决方案1．两端VPN设备无法互通1．从一端VPN设备ping另外一端，看是否能否ping通。如果不通，首先检查网络连接情况。2．两端VPN可以ping通，但是相互收不到IKE协商报文1．检查VPN是否配置ACL或者前端是否有防火墙，禁止了IKE协商报文，需要在ACL或者防火墙上开放UDP500/4500端口；2．检查发起方VPN的内网口是否UP，特别是3005C-104以SW接口作为内网口，LAN口上没有接PC，SW口无法UP，将导致扩展ping不通对端。3．两端VPN采用证书认证方式，但是没有证书或者证书无效；采用预共享密钥方式认证没有配置密码1．通过showcryikesa查看IKE隧道状态没有任何信息；2．打开debugcryikenormal，提示%IKE-ERR:can'tinitiate,noavailableauthenticationmaterial(cert/psk)；3．shcryptocacertificates，查看证书是否有效。4．两端IKE和IPsec策略不一致1.如果采用主模式，查看IKE状态停止在STATE_MAIN_I1，采用积极模式，IKE状态停止在STATE_AGGR_I1，说明可能是两端策略不一致，通过showcryikeproposal和showcryipsecproposal查看两端策略是否相同；2.打开debugcryikenormal，提示ignoringnotificationpayload,typeNO_PROPOSAL_CHOSEN。5．两端VPN设备配置了ID不是IP地址作为身份标识，而是域名或者其他，但是采用IKE协商采用主模式1．查看IKEKEY配置了identity，但是tunnel配置中配置了setmodemain；2．查看IKE状态停止在STATE_MAIN_I1状态。6．对端VPN设备配置错误ID或者没有配置ID1．查看IKEKEY配置了identity，但是tunnel配置中没有配置ID；2．查看IKE状态停止在STATE_AGGR_I1状态；3．有%IKE-ERR:AggressiveModepacketfrom20.0.0.2:500hasinvalidID报错。7．两端VPN设备不支持NAT穿越1．如果采用主模式，查看IKE状态停止在STATE_MAIN_I2状态，说明有可能VPN不支持NAT穿越，我们VPN默认支持，一般可能其他厂家VPN不支持。8．两端VPN设备预共享密钥不一致1.如果采用主模式，查看IKE状态停止在STATE_MAIN_I3状态，说明有可能两端VPN预共享密钥配置不一致；2.通过showruncrykey查看两端的KEY是否相同。9．两端保护数据流不匹配1.查看IKE状态停止在STATE_QUICK_I1状态，说明有可能两端VPN预共享密钥配置不一致；2.通过showcryipsecsa查看没有ipsec隧道；3.日志中有报错：%IKE-ERR:cannotrespondtoIPsecSArequestforinstance-65666:30.0.0.0/8:0/0===20.0.0.2(20.0.0.2)...20.0.0.1(20.0.0.1)===192.168.0.0/16:0/0注：IKE第一阶段采用积极模式，因为积极模式进行IKE协商同时传送与SA、密钥交换和认证相关的载荷，所以一般IKE的错误都将导致IKESA的状态为STATE_AGGR_I1。因此上述对IKE第一阶段问题判断基本都是基于主模式。故障二：VPN隧道通，无法办理业务可能的原因判断方法和解