两台华为防火墙IPsec连接不稳定原因之一的解决方式

最新推荐文章于 2024-11-05 15:52:25 发布

青菜萝卜秧

最新推荐文章于 2024-11-05 15:52:25 发布

阅读量4.3k

点赞数

分类专栏：网络工程文章标签：华为网络

本文链接：https://blog.csdn.net/qq453198/article/details/122229390

版权

网络工程专栏收录该内容

3 篇文章

订阅专栏

背景：

FW1有多条互联网线路接入，固定ip地址线路仅1条，已配置策略路由。
FW2仅1条固定ip线路。
FW1和FW2初次部署，ipsec匹配成功，但是网络访问不稳定，会时不时的断开。

解决方案：

经检查，发现是ipsec会时不时的断开，造成网络访问不稳定。ipsec诊断为第一阶段协商超时…

查看FW1和FW2的会话，以对端的固定IP地址为目标地址进行查询，发现FW1的会话显示：源区域是untrust2 ，但是源固定ip地址的接口安全区域为untrust。FW2的会话查询结果显示暂无异常。
FW1的源安全区域出口异常的解决方式（下班后进行，此防火墙与业务不相干）：

1、停用ipsec，查看会话中匹配的安全策略，进行停止；
#查看会话表显示，仍然异常。
2、禁用安全策略中trust与untrust2安全区域相关的策略；
#查看会话表显示，仍然异常。
3、检查NAT策略、清理ipsec内网网段的策略路由；
#查看会话表显示，仍然异常。
4、新增一条静态路由——到FW2的公网固定ip地址。
#查看会话表显示，发现出口安全区域正常。

总结

防火墙多出口时，源区域异常导致配置ipsec连接不稳定解决方案是

新增一条静态路由强行指定出口和目标ip地址
或许1、2、3的步骤仍然是解决此问题的前提条件。

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

青菜萝卜秧

关注关注

0
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

防火墙两台设备对接，隧道成功建立后，总部子网pc不能ping通分部子网，怎么排查解决？

本博客，博文仅代表个人操作经验，不能完全解决你的问题，仅供参考，佛系回复。

09-26

518

总部深信服防火墙8.0.75分部深信服防火墙8.0.75。

防火墙—IPSec VPN（预共享密钥-多子网）

weixin_44080599的博客

06-01

1291

奇安信防火墙 IPSEC VPN 详解

参与评论您还未登录，请先登录后发表或查看评论

服务经过多条ipsec链路出现不稳定问题

complay_ly的博客

03-27

2347

最近发现，有些服务经常会出现服务丢包、无法传送大文件、服务不稳定等问题。基础网络很稳定，没有发现问题。服务本身在小内网测试也很稳定。经过排查，怀疑可能是中间链路经过了多条IPsecVPN导致报文过长，拆分报文后组合过程出了问题解决方法，IPsecVPN设备在接口模式下：clear ip df 关闭报文分片 ...

【华为_安全】防火墙IPsec双机实验

weixin_53337011的博客

12-08

3748

学习华为防火墙IPsec双机实验记录拓扑。

Huawei USG6330 ipsec 通信失败

qq_40604952的博客

06-19

245

又去策略里看了下命中次数，发现为 0 但是跟其它地方的通信正常，查看IPsec 发现失败，点一下排查错误，显示预共享密钥啥的错误，我就很奇怪，没改过没动过，怎么会变更，但是我还是改了一下，好了，我先登录中心网关看了下 IPsec 显示的协商状态成功，早上有个对端通信失败了，记录一下排错。这里我就觉的不是中心网关的问题；干活前记得备份配置，

华为防火墙 IPSecVP* 排错命令

一直被模仿，从未被超越

02-03

1805

4、清除特定对端的ike sa信息，让链接重新建立。8、查看IKE协商建立的IPSec隧道被删除的信息。9、查看 IP 是从哪个接口出去的。6、查看指定目地地址会话。2、查看 ipsec 连接。1、查看 ike 连接。3、显示 ike 错误。5、查看 ike 会话。

华为防火墙虚拟系统+IPsec VPN案例

最新发布

qq_45024159的博客

11-05

1405

总部：部署了一台防火墙，想要通过一台防火墙即能在保证内网的数据安全的情况下与分部的内部通信，还要求外网的业务也经过防火墙进行转发（通过防火墙虚拟系统+IPsec VPN方式），分部：对安全性没有要求，使得内网设备不仅可以访问总部，还可以访问互联网络。小智公司有上海总部与广州分部两个办公地点。1.总部内网设备与分部可以实现互访。2.总部外网设备可以访问外网服务器。3.分部设备可以访问外网服务器。网络规划：拓扑图已标注。

华为防火墙IPSEC虚拟专网基本配置

07-16

2592

本文介绍一下华为防火墙上IPSEC 虚拟专网的配置方法，本范文内没有计划NAT相关事项。配置步骤：一、配置接口二、配置安全区域三、配置安全策略四、配置静态路由五、配置IPSEC1. ike proposal2. ike peer3. ipsec proposal4. ACL5. ipsec policy#调用ACL、IPSEC Proposal、ike peer6. ...

华为防火墙综合案例（IPSec、SSL、NAT、ACL、安全防护）

zz12345600354的博客

05-21

1303

在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。[Y/N]: y #同意修改密码。Please enter new password:p-0p-0p-0 #新密码。Please enter new password:p-0p-0p-0 #新密码。Please enter new password:p-0p-0p-0 #新密码。

华为防火墙部署 l2tp over ipsec

jcjczjc的博客

01-26

2561

一般手机不能很好支持ssl vpn 和EAP认证, 客户需要部署L2TP OVER IPSEC 配置： interface Virtual-Template1 ppp authentication-mode chap ip address 172.16.19.1 255.255.255.0 firewall zone untrust set priority 5 add interface Dialer0 add interface Virtual-Template1 l2tp enab

防火墙ipsec连接成功，两端内网却不通？故障原因竟是数字问题

m0_57121953的博客

07-30

2449

随着经济与网络的发展，异地办公在现在这个年代几乎是刚需了，本文主要讲解防火墙ipsec vpn连接的配置，以及配置完成后，两地内网不能互访的排查案例。先看拓扑图吧，总部和分公司两地都采用华为防火墙作为网关设备。配置要求：1、两端通过各自的互联网链路上网；2、在两端的防火墙上配置ipsec vpn，使两地内网得以互访；配置上网的步骤：1、配置内外网各接口IP外网接口的安全区域为untrust，根据运...

华为防火墙IPSec xxx技术

weixin_45123715的博客

08-24

1425

具体的IPSec技术原理请参照专栏中IPSec的文章，这里是关于IPSec在防火墙上的应用实验：拓扑图： FW1配置trust-untrust策略：

Fortigate疑难杂症之 - IPSec传输大文件中断/其他异常中断

RaySun的技术Blog

08-03

1715

将IPSec两端的防火墙设备的IKE端口更改为非默认端口将IPSec两端的协商模式由主动模式改为野蛮模式。

IPSec VPN自动断开的问题

pocher的博客

12-18

3544

需要检查下DPD检测有没有开启，如果没有开启超过链接生存周期后就会自动断开，DPD检测相当于Keepalive机制。

cisco 双ISP线路接入链路自动切换方案

weixin_34150830的博客

08-02

376

最近接到的一个项目，客户总部在惠州，分部在香港，在香港分部设有ERP服务器与邮件服务器，总部出口为铁通10M光纤与网通1M DDN 专线（新增），原总部是用netscreen 防火墙与香港的pix 515作IPsec ×××对接，现客户要求是新增一条网通DDN专线用来专跑ERP数据业务，就是要求平时总部去分部访问ERP服务器的数据走DDN专线，访问邮件服务器的数据走ipsec...

Ipsec ikev1的坑

willwillwang的博客

12-30

393

当时建完了是很稳定的，跑了大约几个月的时间，后来因为一次变更变得不稳定了。

ORA-03135 防火墙超时设置断开db link 连接

dgn7151的博客

09-23

896

【现象】应用使用数据库连接池，访问A库时通过dblink查询B库，应用时不时会报错ORA-02068和ORA-03135。【过程还原】当应用获取了一个数据库连接，并在数据库连接中使用了dblink，如果应用到A库的连接不释放，则A库到B库的dblink 连接也不释放；当A库到B库的dblink连接由于长时间无数据被防火墙设备断开后，如果应用再次从连接池...

【隧道篇 / IPsec】(5.6) ❀ 06. 多条 IPsec 冗余 ❀ FortiGate 防火墙

防火墙技术专栏

09-03

5774

【简介】当多个分部连接总部的时候，我们可以使用点对多的IPsec VPN，但是缺点就是，如果总部的这条宽带临时出现问题，所有的VPN将会断开，严重影响业务，解决的办法就是用二条宽带做冗余IPsec VPN，这样一条宽带出现故障，另一条宽带的VPN还是可以正常使用。冗余 VPN 问题我们在做点对多IPsec VPN的时候知道，总部是不用建立返程路由的，都......

公网ip经常变动的解决方法

热门推荐

王加伦的技术分享

08-11

2万+

解决公网ip经常变动问题家里申请了电信的公网ip, 但是如果停电或者重新拨号都会导致这个ip变更.很多配置好的应用都需要重新配置ip地址太麻烦了思考现成的产品类似花生壳这些内网穿透都要收费或者限速, 我已有公网ip感觉不划算想到了域名配置dns解析, 应用里面都配置域名代替ip地址.每次ip变了我只需要去改一下域名的dns解析就可以了但是还会有问题, 每次都需要手动改一下, 并且还必须得连上家里网才能知道最新的公网ip 查了阿里云/腾讯云/华为云等等dns解析都对外提供了api文

题目一防火墙的虚拟化配置及其典型部署(华为或者思科等都可以) 一、项目背景 Internet 由于其开放性，使得非常容易遭受攻击。随着攻击手段的变化多样而且攻击工具更容易获取，以及基于僵尸网络 DDoS 攻击的出现，使得基于网络层的攻击层出不穷。主要的攻击包括：ARP Flood、ICMP Flood、IP Spoofing、UDP Flood、Synflood、Smurf 攻击、Land 攻击、超大 ICMP 攻击、Fragile 攻击、Ping of Death、Tear Drop、Ping Scan、Port Scan、IP 路由选项攻击、Tracert 攻击等等。因此边界网络环境部署防火墙是势在必得。二、项目任务 1、了解熟悉所选品牌防火墙的具体功能，要求所交文档等将主要功能描述清楚。 2、规划某园区场景的网络部署架构，其中涉及防火墙设备不得少于4台。 3、通过模拟器（ENSP\GNS3\EVE-NG等）实现5个以上的主要功能，并按照步骤截图，并且留存具体配置一同提交。 4、开动你的聪明才智，添加你认为还应该完善的内容。

03-27

三、所选品牌防火墙的功能介绍华为防火墙： 1、网络边界防护：包括流量过滤、攻击检测及防御、入侵检测等功能。 2、应用层安全防护：能够对 HTTP、SMTP、FTP、DNS 等协议进行深度包检测，防止应用层攻击。 3、VPN 功能：支持 IPSec VPN、SSL VPN、GRE VPN 等多种 VPN 方案，实现远程访问和分支互联。 4、流量管理：支持带宽控制、流量限制、流量统计等功能，有效防止网络拥塞。 5、安全管理：支持身份认证、访问控制、安全审计等功能，保障网络安全。思科防火墙： 1、网络边界防护：包括防止 DDoS 攻击、防火墙 ACL、应用控制等功能。 2、安全服务：包括 IPS、URL 过滤、AMP 等服务，有效防御漏洞攻击和恶意软件。 3、VPN 功能：支持 IPSec VPN、SSL VPN 等多种 VPN 方案，实现远程访问和分支互联。 4、流量管理：支持带宽控制、流量限制、QoS 等功能，防止网络拥塞和提高网络质量。 5、安全管理：支持 AAA 认证、访问控制、安全审计等功能，保障网络安全。四、场景网络部署架构规划本次场景网络部署涉及到园区内的多个子网和外部网络之间的连接，因此需要使用多台防火墙进行部署。 1、外部网络连接：使用两台防火墙进行双机热备配置，同时连接外部网络。 2、园区内部连接：使用两台防火墙进行双机热备配置，同时连接园区内部网络。 3、DMZ 区域连接：使用一台防火墙连接 DMZ 区域，实现与外部网络的隔离。 4、VPN 连接：使用一台防火墙配置 VPN 服务，实现远程访问和分支互联。五、模拟器上实现的功能及配置 1、网络边界防护：配置防火墙 ACL，限制外部网络对内部网络的访问。 2、应用层安全防护：配置 IPS、URL 过滤等服务，防止应用层攻击。 3、VPN 功能：配置 IPSec VPN 和 SSL VPN，实现远程访问和分支互联。 4、流量管理：配置带宽控制、流量限制、QoS 等功能，防止网络拥塞和提高网络质量。 5、安全管理：配置 AAA 认证、访问控制、安全审计等功能，保障网络安全。具体配置及截图见附件。六、补充内容 1、防火墙的日志管理功能：可以配置日志审计、日志记录等功能，及时发现网络安全问题。 2、防火墙的高可用性配置：可以配置双机热备、VRRP 等功能，保证网络的高可用性。 3、防火墙的数据备份与恢复功能：可以对配置文件、日志文件等进行备份，以便在设备出现故障时快速恢复。