请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 2485|回复: 5

ISR4K平台上,由于NAT中的“permit ip any any”语句造成isakmp协商失败

[复制链接]
发表于 2019-8-8 16:11:01 | 显示全部楼层 |阅读模式
本帖最后由 shozhang 于 2019-8-14 12:02 编辑
昨天处理了一个客户的VPN case,客户两端都是cisco的ISR4431,通过公网地址建立L2L IPsec VPN,而第一阶段SA始终协商不能成功,通过debug与抓包最终发现是由于客户过于粗放的NAT配置导致了IKE的协商失败,具体原理以及排错方式请见下面的内容:

1.客户的配置:如下只列出了必要的VPN配置,并隐去了客户的key以及公网IP地址
site1:
crypto isakmp policy 10
encr 3des hash md5
authentication pre-share
group 2
crypto isakmp key <removed> address x.x.x.x
crypto ipsec transform-set tran-r1 esp-3des esp-md5-hmac

mode tunnel
crypto map map-1 40 ipsec-isakmp

  set peer x.x.x.x
  set transform-set tran-r1
  match address vpn-103
interface GigabitEthernet0/0/0

ip address Y.Y.Y.Y 255.255.255.240
ip nat outside
negotiation auto
crypto map map-1
ip nat inside source list NAT interface GigabitEthernet0/0/0 overload
ip route 0.0.0.0 0.0.0.0 113.208.yy.yy
ip access-list extended NAT

deny   ip 172.17.1.0 0.0.0.255 192.168.72.0 0.0.3.255
permit udp any any eq domain
permit udp any eq domain any
permit icmp any any permit ip any any
ip access-list extended vpn-103

permit ip 172.17.1.0 0.0.0.255 192.168.72.0 0.0.3.255
Site2:

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key <removed> address Y.Y.Y.Y
crypto ipsec transform-set tran-r1 esp-3des esp-md5-hmac

  mode tunnel
crypto map map-1 40 ipsec-isakmp

  set peer Y.Y.Y.Y
  set transform-set tran-r1
  match address vpn-103
interface GigabitEthernet0/0/0

ip address x.x.x.x 255.255.255.248
ip nat outside
negotiation auto
crypto map map-1
ip nat inside source list NAT interface GigabitEthernet0/0/0 overload
ip access-list extended NAT

deny   ip 192.168.72.0 0.0.3.255 172.17.1.0 0.0.0.255
permit udp any any eq domain
permit udp any eq domain any
permit icmp any any permit ip any any
ip access-list extended vpn-103

permit ip 192.168.72.0 0.0.3.255 172.17.1.0 0.0.0.255
ip route 0.0.0.0 0.0.0.0 222.190.xx.xx
客户部属的是一个典型的L2L VPN,可以说是十分简单的VPN了,唯一需要注意的就是要在路由器上为各自的感兴趣流做NAT豁免。可以看到客户在两端的ISR上配置的加密算法是相同的,与共享密钥以及感兴趣流也是标准的互为镜像的,同时也为感兴趣流做了NAT豁免,可以说从配置上看不出任何问题。接下来是debug.

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-8-8 16:50:32 | 显示全部楼层
干货,感谢楼主分享
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-8-8 20:49:19 | 显示全部楼层
ios-xe platform NAT case, 先查ACL 如果是permit ip any any 的acl 立马改掉
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-8-9 10:26:52 | 显示全部楼层
感谢楼主分享
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-8-13 15:33:25 | 显示全部楼层
2端都是思科路由器,建议还是配置成SVTI类型的IPSECVPN吧,这样灵活方便的多
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-8-14 11:57:44 | 显示全部楼层
YilinChen 发表于 2019-8-13 15:33
2端都是思科路由器,建议还是配置成SVTI类型的IPSECVPN吧,这样灵活方便的多

SVTI也可能存在这个问题
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-12-7 12:04 , Processed in 0.099464 second(s), 46 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表