客戶使用MSR3660路由器和天融信防火墻建立GRE over IPSec VPN不通，現(xiàn)場反饋IPSec VPN和GRE隧道都是建立起來的，但是數(shù)據(jù)不通。接下來針對這個問題進行分析。

　　過程分析1、搜集配置進行分析

　　現(xiàn)場反饋建立IPSec VPN和GRE隧道都是使用的公網(wǎng)地址進行配置的，IPSec VPN保護的感興趣流也是源目公網(wǎng)地址。具體配置如下(公網(wǎng)地址不是客戶真實地址)：

　　#配置感興趣流

　　acl advanced 3107

　　rule 0 permit gre source 111.111.111.111 0 destination 222.222.222.222 0

　　#配置ike keychain

　　ike keychain wuhan_1

　　pre-shared-key address 222.222.222.222 255.255.255.255 key cipher $c$3$+z622GBHXswjD77qm7wlcjGMKTIVYmB/TGI=

　　#配置ike profile

　　ike profile wuhan_1

　　keychain wuhan_1

　　local-identity address 111.111.111.111

　　match remote identity address 222.222.222.222 255.255.255.255

　　#配置IPSec提議

　　ipsec transform-set wuhan_1

　　esp encryption-algorithm 3des-cbc

　　esp authentication-algorithm sha1

　　#配置IPSec policy策略

　　ipsec policy policy1 7 isakmp

　　transform-set wuhan_1

　　security acl 3107

　　local-address 111.111.111.111

　　remote-address 222.222.222.222

　　ike-profile wuhan_1

　　較后需要將IPSec policy策略調(diào)用在外網(wǎng)接口。

　　#創(chuàng)建tunnel接口，并且協(xié)議為GRE：

　　interface Tunnel7 mode gre

　　ip address 10.16.253.9 255.255.255.252

　　source 111.111.111.111

　　destination 222.222.222.222

　　keepalive 6 3

　　通過上面的配置并沒有看出問題，GRE建立和IPSec VPN建立都使用公網(wǎng)地址也是按理來說是可行的?，F(xiàn)場也搜集display ike sa以及display ipsec sa信息發(fā)現(xiàn)IPSec VPN都是建立成功的。

　　2、分析問題原因

　　發(fā)現(xiàn)執(zhí)行命令reset ike sa和reset ipsec sa之后ping測試依然可以成功建立IPSec隧道和GRE隧道。接下來通過執(zhí)行ping測試，并且觀察display ipsec statistics信息進行分析。

　　(1)當我們設備終端主動往對方發(fā)包時，執(zhí)行display ipsec statistics看到我們設備有發(fā)送的報文，但是沒有收到對方的回復報文：

　　[H3C]display ipsec statistics

　　IPsec packet statistics:

　　Received/sent packets: 0/15

　　Received/sent bytes: 0/1320

　　Dropped packets (received/sent): 15/0

　　Dropped packets statistics

　　No available SA: 0

　　現(xiàn)場和天融信工程師確認之后，天融信并沒有收到我們發(fā)過去的報文。于是我們設備開啟debugging ip packet acl觀察報文的處理過程，發(fā)現(xiàn)我們的報文已經(jīng)發(fā)出，并且是發(fā)出去的接口是tunnel 7的GRE隧道接口，說明我們設備處理沒有問題。

　　(2)天融信設備往我們路由器發(fā)包，執(zhí)行display ipsec statistics看到我們設備有接收到報文，并且也有回復報文：

　　[H3C]display ipsec statistics

　　IPsec packet statistics:

　　Received/sent packets: 15/15

　　Received/sent bytes: 1320/1320

　　Dropped packets (received/sent): 0/0

　　Dropped packets statistics

　　No available SA: 0

　　但是對方設備抓包還是沒有看到我們設備的回包。同樣在我們設備debugging ip packet acl進行分析也沒有發(fā)現(xiàn)問題，我們設備從tunnel 7接口收到報文處理之后也將報文發(fā)往tunnel隧道。

　　(3)定位問題

　　通過測試發(fā)現(xiàn)我們設備發(fā)往天融信的方向出現(xiàn)了問題，懷疑是外網(wǎng)原因?qū)е碌?。外網(wǎng)原因一般就是網(wǎng)絡質(zhì)量不好或者外網(wǎng)運營商設備不能通過比較大的報文。因此嘗試在外網(wǎng)接口修改mtu也沒有解決問題。

　　但是從上面的配置我們可進一步分析，發(fā)現(xiàn)終端的報文進入GRE隧道之后今天公網(wǎng)地址封裝，然后再次進行IPSec封裝。這樣的話對于一個建立隧道使用的公網(wǎng)地址進行了兩次封裝，懷疑是公網(wǎng)地址封裝報文層數(shù)導致的，因此建議兩邊的設備配置GRE隧道協(xié)商的地址改為私網(wǎng)地址進行協(xié)商，然后IPSec再保護這個建立GRE隧道的私網(wǎng)地址。

　　于是，我們設備的配置修改了以下幾點地方進行測試：

　　a、創(chuàng)建loopback接口，配置為私網(wǎng)地址，用來協(xié)商GRE使用的。

　　b、將IPSec VPN保護的感興趣流改為本地loopback地址到對方設備的loopback接口地址。

　　具體配置如下：

　　#創(chuàng)建loopback接口：

　　interface LoopBack1

　　ip address 192.168.1.1 255.255.255.255

　　#配置感興趣流為loopback接口地址

　　acl advanced 3107

　　rule 0 permit gre source 192.168.1.1 0 destination 192.168.1.2 0

　　#配置ike keychain

　　ike keychain wuhan_1

　　pre-shared-key address 222.222.222.222 255.255.255.255 key cipher $c$3$+z622GBHXswjD77qm7wlcjGMKTIVYmB/TGI=

　　#配置ike profile

　　ike profile wuhan_1

　　keychain wuhan_1

　　local-identity address 111.111.111.111

　　match remote identity address 222.222.222.222 255.255.255.255

　　#配置IPSec提議

　　ipsec transform-set wuhan_1

　　esp encryption-algorithm 3des-cbc

　　esp authentication-algorithm sha1

　　#配置IPSec policy策略

　　ipsec policy policy1 7 isakmp

　　transform-set wuhan_1

　　security acl 3107

　　local-address 111.111.111.111

　　remote-address 222.222.222.222

　　ike-profile wuhan_1

　　較后需要將IPSec policy策略調(diào)用在外網(wǎng)接口。

　　#創(chuàng)建tunnel接口，并且協(xié)議為GRE：

　　interface Tunnel7 mode gre

　　ip address 10.16.253.9 255.255.255.252

　　source 192.168.1.1

　　destination 192.168.1.2

　　keepalive 6 3

　　通過上面配置之后，現(xiàn)場IPSec VPN和GRE隧道正常協(xié)商，通過ping測試之后業(yè)務正常。說明一點，在復雜的公網(wǎng)環(huán)境中，建議協(xié)商GRE隧道的地址使用內(nèi)網(wǎng)地址協(xié)商，IPSec VPN封裝保護GRE隧道協(xié)商地址即可。避免了復雜的公網(wǎng)環(huán)境導致的異常情況。

　　解決方法1、建loopback接口，配置為私網(wǎng)地址，用來協(xié)商GRE使用的。

　　2、IPSec VPN保護的感興趣流改為本地loopback地址到對方設備的loopback接口地址。

　　通過上面的配置可以避免復雜的公網(wǎng)環(huán)境對報文封裝的影響。

• 上一篇：H3C ER3108G CPU利用率高達90%的問題解決
• 下一篇：H3C WA5320技術(shù)參數(shù)及性能要求