背景:
FW1有多条互联网线路接入,固定ip地址线路仅1条,已配置策略路由。
FW2仅1条固定ip线路。
FW1和FW2初次部署,ipsec匹配成功,但是网络访问不稳定,会时不时的断开。
解决方案:
经检查,发现是ipsec会时不时的断开,造成网络访问不稳定。ipsec诊断为第一阶段协商超时…
查看FW1和FW2的会话,以对端的固定IP地址为目标地址进行查询,发现FW1的会话显示:源区域是untrust2 ,但是源固定ip地址的接口安全区域为untrust。FW2的会话查询结果显示暂无异常。
FW1的源安全区域出口异常的解决方式(下班后进行,此防火墙与业务不相干):
1、停用ipsec,查看会话中匹配的安全策略,进行停止;
#查看会话表显示,仍然异常。
2、禁用安全策略中trust与untrust2安全区域相关的策略;
#查看会话表显示,仍然异常。
3、检查NAT策略、清理ipsec内网网段的策略路由;
#查看会话表显示,仍然异常。
4、新增一条静态路由——到FW2的公网固定ip地址。
#查看会话表显示,发现出口安全区域正常。
总结
防火墙多出口时,源区域异常导致配置ipsec连接不稳定解决方案是
新增一条静态路由强行指定出口和目标ip地址
或许1、2、3的步骤仍然是解决此问题的前提条件。