网络工程 - Cisco ISR 上的 IPSec VTI 报告向上/向上和解封装数据包，但不封装 - 吾爱随笔录

Cisco ISR 上的 IPSec VTI 报告向上/向上和解封装数据包，但不封装

网络工程思科虚拟专用网思科-ios

2022-03-02 06:05:45

我正在两个站点之间配置 VPN 连接。站点 A 有一个 ASA (9.8.2)，另一个站点有一个 ISR 2911（我认为是 15.4 - 我必须仔细检查）。我将 VTI 用于路由 VPN。隧道两侧向上/向上。

从站点 B 的角度来看，当我尝试从一个隧道接口 ping 到另一个隧道接口时，我看到了解码和解密。但是，没有其他方式的封装/加密。甚至当我尝试从站点 B ping 到站点 A 时也不行。

Site B的配置如下：

crypto ipsec security-association replay window-size 128
crypto ipsec fragmentation before-encryption
crypto ipsec df-bit clear

! Note: Use IKEv2 Smart Defaults for proposal

! Note: Use IKEv2 Smart Defaults for policy

crypto ikev2 keyring myV1-keyring
 peer remote-peer
  address 190.191.192.193
  identity address 190.191.192.193
  pre-shared-key local sideb-psk
  pre-shared-key remote sidea-psk

crypto ikev2 profile sideb-ikev2
 match identity remote address 190.191.192.193 255.255.255.255
 ivrf employeeVrf
 authentication local pre-share 
 authentication remote pre-share
 dpd 1000 60 periodic
 identity local address 100.101.102.103
 keyring local myV1-keyring
 ! Note: Use default lifetime settings

crypto ipsec transform-set my-tansform esp-aes 256 esp-sha512-hmac
  mode tunnel

crypto ipsec profile sideb-ipsec
 set pfs group5
 set transform-set my-tansform
 set ikev2-profile sideb-ikev2

interface tunnel 0
 ip vrf forwarding employeeVrf
 ip address 10.10.10.3 255.255.255.248
 tunnel mode ipsec ipv4
 tunnel source GigabitEthernet0/0
 tunnel destination 190.191.192.193
 tunnel protection ipsec profile sideb-ipsec

我没有包括站点 A，因为此时它似乎无关紧要。隧道在站点 A 启动/启动，它正在封装要在远程端（站点 B）解封装的数据包。无论站点 A 是否能够解封装，站点 B 的数据包封装都应该发生，但事实并非如此。因此，我的结论是我可以忽略站点 A，至少在我看到站点 B 发生封装之前。

注意：ivrf 是employeeVrf，而fvrf 是默认/全局。

随着隧道的报告为 up/up...

从站点 A，ping 10.10.10.3 没有回复（100% 丢失）从站点 B，ping vrf employeeVrf 10.10.10.1 导致没有回复（100% 丢失）

然而，

interface: Tunnel0
    Crypto map tag: Tunnel0-head-0, local addr 100.101.102.103

   protected vrf: employeeVrf
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   current_peer 190.191.192.193 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #pkts no sa (send) 0, #pkts invalid sa (rcv) 0
    #pkts encaps failed (send) 0, #pkts decaps failed (rcv) 0
    #pkts invalid prot (recv) 0, #pkts verify failed: 0
    #pkts invalid identity (recv) 0, #pkts invalid len (rcv) 0
    #pkts replay rollover (send): 0, #pkts replay rollover (rcv) 0
    ##pkts replay failed (rcv): 0
    #pkts tagged (send): 0, #pkts untagged (rcv): 0
    #pkts not tagged (send): 0, #pkts not untagged (rcv): 0
    #pkts internal err (send): 0, #pkts internal err (recv) 0

     local crypto endpt.: 100.101.102.103, remote crypto endpt.: 190.191.192.193
     plaintext mtu 1422, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
     current outbound spi: 0xD7D32882(3620939906)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x19478282(424116866)
        transform: esp-256-aes esp-sha512-hmac ,
        in use settings ={Tunnel, }
        conn id: 3893, flow_id: Onboard VPN:1893, sibling_flags 80000040, crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec): (4292784/3200)
        IV size: 16 bytes
        replay detection support: Y  replay window size: 128
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xD7D32882(3620939906)
        transform: esp-256-aes esp-sha512-hmac ,
        in use settings ={Tunnel, }
        conn id: 3894, flow_id: Onboard VPN:1894, sibling_flags 80000040, crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec): (4292784/3200)
        IV size: 16 bytes
        replay detection support: Y  replay window size: 128
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

请注意，我们看到从站点 A 到站点 B ping 的 5 次去盖和解密。回复或从站点 B 到站点 A 的 ping 没有加密。

注意到“PFS (Y/N): N, DH group: none”也很有趣。我不明白这一点，因为我在我的 ipsec 配置文件中将 PFS 指定为第 5 组。远程端（站点 A）上的 SA 确实按预期报告了 PFS。

非常感谢有关错误配置或解决方案的任何帮助或见解。

2个回答

您需要做的第一件事是从 ikev2 配置文件中删除 ivrf，因为它不需要（并且可能导致问题）。

crypto ikev2 profile sideb-ikev2
no ivrf employeeVrf

然后 ...

运行show ip route 10.10.10.1并show ip cef tunnel0查看隧道网络是否显示为已连接路由。

我从来没有使用过全局表和内部 VRF，我总是指定两者......

我会尝试定义一个 fvrf（让我们将我的示例称为外部 VRF）。这将需要在您的密钥环中设置，作为隧道 vrf，以及匹配语句。

crypto ikev2 keyring myV1-keyring vrf outsideVRF

interface tunnel0
tunnel vrf outsideVRF

match identity remote address 190.191.192.193 255.255.255.255 vrf outsideVRF

然后您可以担心跨隧道的路由（请记住在您的路由语句中包含正确的 VRF）。

让我们知道怎么回事。

我没有包括站点 A，因为此时它似乎无关紧要

但事实并非如此。每个方向都是一个独立的流，有自己的 SA。如果您有单向交通（如您所做的那样），则返回方向没有正确设置（或根本没有），和/或没有将交通路由到其中。我们需要看看双方的情况。我怀疑是后者，因为有两个 SA。debug packet可能会阐明事情的去向/被丢弃的地方。

（注意：历史上 ASA 不支持 VTI ——因为 ASA 不能执行“0/0”，而 IOS 依赖于路由，不能更具体地设置。）

其它你可能感兴趣的问题

上一篇如果一个来自 /22 另一个来自 /24，同一个 IP 是否会导致 IP 冲突？下一篇Meraki 防火墙和交换机 VLAN 设置