返回
vpn无法连接诊断

vpn无法连接诊断

ID:40755695

大小:115.00 KB

页数:8页

时间:2019-08-07

vpn无法连接诊断_第1页
vpn无法连接诊断_第2页
vpn无法连接诊断_第3页
vpn无法连接诊断_第4页
vpn无法连接诊断_第5页
资源描述:

《vpn无法连接诊断》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、具体故障表现为:移动无线上网用户使用VPN客户端经常无法与VPN网关正常建立VPN隧道,VPN网关上显示隧道正在协商,但是偶尔可以与VPN网关正常建立隧道(几率较小);其他VPN客户端用户均可以与VPN网关正常建立VPN隧道。  故障环境说明:  1、移动无线上网用户经过移动的NAT设备(使用NATPOOL做的地址转换)访问互联网;  2、无线移动用户使用天融信的IPSECVPN远程客户端,经过:移动NAT设备->互联网->F5负载均衡设备(目的地址转化为天融信VPN外部接口地址)->天融信IPS->天融信VPN网关(IP地址

2、为:172.31.1.76,通过F5对外映射为公网地址211.X.X.76)建立VPN隧道;  常规分析:问题是出在协商过程?  1、首先,我们通过移动无线上网用户VPN客户端与VPN网关建立隧道的过程,可以发现故障点主要有以下五个:移动无线上网机器、移动NAT设备、F5设备、IPS、VPN网关;  2、通过故障现象,我们可以发现,其他VPN客户端用户均可以与VPN网关正常建立VPN隧道,那么基本上可以将F5设备、IPS、VPN网关等故障点排除;  3、隧道无法建立时,显示为正在协商,说明IPSECVPN隧道建立异常,问题是出

3、在协商过程;  4、到底是什么原因造成的协商问题,一时无法定位,我们只能通过抓取异常时的数据包来分析了。  数据包分析:采用Wireshark分析工具来做  在进行数据包分析之前,我们需要对IPSECVPN隧道建立的基本理论以及天融信IPSECVPN客户端与天融信VPN网关建立隧道的过程有一个较清晰的认识;  1IPSECVPN隧道基本原理  1、IPSECVPN隧道建立基本过程  协商过程  IKE协议是用于IPSEC隧道协商SA的协议,IKE的协商过程分为协商ISAKMPSA和协商IPSECSA两个阶段;第一阶段可以采用:

4、主模式或野蛮模式两种协商方法;第二阶段统称为快速模式。  第一阶段主模式协商(协商ISAKMPSA)过程图:  第一阶段野蛮模式协商(协商ISAKMPSA)过程图:  第二阶段快速模式协商(协商IPSECSA)过程图:  从上面三张图示,我们可以看到隧道协商时,主模式需要双向传输6个数据包,野蛮模式双向3个数据包,快速模式双向3个数据包;  2天融信VPN客户端隧道建立过程  天融信VPN客户端与天融信VPN网关建立IPSECVPN隧道的主要流程如下:  VPN客户端通过VPN网关的TCP2012端口,在网关上进行注册;这个过

5、程网关上会判断(可以通过用户名、口令的形式,也可以通过证书的形式)该VPN客户端用户是否为网关上预先定义的合法用户,如果是,将给客户端分配一个虚拟地址用于加密隧道内的通讯;  VPN客户端注册成功后,客户端会向网关的UDP2012端口发送通告,网关则向VPN客户端发送反向通告;  VPN客户端通过野蛮模式进行第一阶段协商;  第一阶段协商成功的话,则通过快速模式进行第二阶段协商;  如果第二阶段协商成功,则IPSECVPN隧道建立成功;  隧道建立成功,则可以实现VPN隧道内的安全访问;  3抓包分析  当VPN客户端隧道建立

6、异常时,我们抓取客户端的数据包如下(双击以wireshark打开):  通讯过程图示:  我们首先通过该数据包,将此此通讯过程以图示的方式呈现如下(为便于分析协商过程,此图示未将VRC通告通讯画出):  发现问题:为何VPN网关没有响应第19个数据包?  1、1-10数据包很清晰的显示了VPN客户端向VPN网关注册(使用的是TCP2012端口)的通讯过程,三次握手建立通讯,双向传输数据包,四次握手拆除连接;  2、12、14,22、23等为VPN客户端与防火墙间互相通告的通讯数据包,使用的是UDP2012端口;  3、第11、

7、13、15数据包均为VPN客户端发出的ISAKMPSA协商的第一个包(有Initiatorcookie值,Respondercookie为0000000000000000,故可以判断为SA协商的第一个数据包),三数据包的Initiatorcookie值不一样,因此,可以肯定这三个数据包是没有关联关系的;  4、第16个数据包为VPN网关给第13个数据包的响应,因为其Initiatorcookie值与第13个数据包的Initiatorcookie值对应;  5、第17个数据包为VPN网关给第14个数据包的响应,因为其Initia

8、torcookie值与第14个数据包的Initiatorcookie值对应;  6、第18个数据包通讯端口变成UDP4500了(这是由于VPN客户端是经过NAT访问互联网的,天融信的IVVPN客户端支持NAT-T协议,所以在野蛮模式下,第三个数据包自动漂移到UDP4500端口

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。