文章目录
前言
工作中碰见山石的防火墙,调试VPN过程中发现web页面没有路由追踪的功能,需要登录后台使用debug,手动追踪报文匹配情况。
一.常见debug页面
页面中红框enctype中显示双方协商的加密算法不一致,因此出现报错显示协商不成功
二.IPsec协商成功后数据不通排查思路
- 使用debug检查:debug dp basic 和debug dp ipsec 查看数据包加解密
- 检查路由和peer配置中gateway是否一致
- 检查双方的配置是否一致
- 多vpn实例时tunnel逆向路由关闭
- 对端设备是否允许ping
- 策略模式不支持直接ping对端内网网关接口
常用命令
第一步:
查看cpu状态:show cpu detail
查看IKE SA 状态:show isakmp sa
查看IPsec SA 状态:show ipsec sa
查看debug协商日志筛选不成功原因:show logging debug
第二步:
查看IPsec 第一阶段配置:show isakmp peer
查看IPsec 第二阶段配置:show tunnel ipsec auto
判断双方配置是否一致,不一致需要进行更改,详细见下图
第三步:
清除指定IP第一阶段协商日志:clear isakmp sa 192.168.1.1
清除第一阶段的协商状态,使其重新协商:clear isakmp sa
查看debug日志:show logging debug
第四步:
查看tunnel口是否绑定IPsec-vpn:show configuration interface tunnel
查看路由:对端内网的下一跳是否指向tunnel口,若路由中tunnel前含有网关
那么tunnel口也需要绑定相同网关,具体操作见下方图解
第五步:
在防火墙上debug,测试报文是否可达防火墙,查看策略是否匹配
辅助命令:
查看debug-vpn 策略表:show vpn-filter
debug指定IP的IPsec流量:debug vpn filter ip 192.168.1.1
查看IPsec协商过程:debug vpn ike
更改第一阶段协商参数:
- tunnel口绑定网关