前期背景
1、现总部的PIX防火墙对内网上网用户做了NAT转换,统一转换为218.28.37.51
2、现总部的防火墙和分公司的PIX防火墙通过网通链路建立site to site的IPSECVPN互联。两端使用的地址均为公网IP地址 218.28.6.85和218.28.37.51。实际LC上线后,也是通过网通链路建立VPN
F5 LC上线后
1、LC不配置任何NAT转换,总部PIX防火墙带着公网地址出去,网关指向F5:218.28.37.52
2、F5内网口和网通链路接口同属一个VLAN: both_line ,IP为218.28.37.52
3、在透传VPN的配置上,配置了 performance L4 VS,VS地址和pool地址都是 218.28.37.51。也不配置NAT转换。Fast L4 profile打开Loose close和Loose Initial
故障问题
1、两台PIX防火墙无法透过F5建立VPN。通过在F5上Tcpdump抓包,发现持续显示如下信息:
[root@f5:Active] config # tcpdump -i both_line host 218.28.6.85
tcpdump: listening on both_line
22:59:55.509301 218.28.37.51.isakmp > 218.28.6.85.isakmp: isakmp: phase 1 I ident
22:59:55.509310 218.28.37.52.isakmp > 218.28.6.85.isakmp: isakmp: phase 1 ? ident
22:59:55.514425 218.28.6.85.isakmp > 218.28.37.52.isakmp: isakmp: phase 1 R ident
22:59:55.514431 218.28.6.85.isakmp > 218.28.37.51.isakmp: isakmp: phase 1 R ident
显示是IPSec第一阶段没有建立成功,但是为什么会有以上黑体字显示的的条目呢?218.28.37.52是F5的地址,为什么会有分公司PIX和F5的连接过程呢? |
发表于 2010-7-28 22:06
|