运营商ppoe网络对v pn端口的屏蔽

最近公司总部更换了防火墙,跟几个分部的ipsec需要重新搭建。四个分部,两个分部是public IP,两个分部是pppoe网络,总部跟有ip的分部,搭建ipsec无障碍;但pppoe网络的分部,跟总部的ipsec搭建却出了好多问题

分部都是juniper ssg140设备,玩过这些设备的都知道,ipsec的协商过程默认会记录在events(事件)里面,对调试排错很有帮助。
分部A是pppoe网络,跟总部搭建ipsec的过程中,events里没找到ipsec的协商记录,以为配置错误,检查了几遍配置,确认无误。因为pppoe分配的地址是piulic ip,所以用这个ip调试了一下,秒连接。

修改回原配置,采用local id进行匹配,差不多一小时才看到事件里ipsec的协商记录,然后维持在一小时两条协商记录的评率,ipsec tunnel 自然是起不来的。一天后再看,ipsec tunnel已经建立,查看事件记录,凌晨的一段时间,ipsec在连续协商,最后ipsec tunne建立。跟总部的ipsec tunnel起来了,遂配置分部A到分部B的ipsec,分部B为public IP,跟到总部的配置一模一样,然后一直没有ipsec协商,百思不得其解。

两天后,分部A到总部的tunnel消失,查看alarms,没有提示v pn down的记录。events也没有协商失败的记录,怀疑跟运营商网络有关,为了验证猜想,准备模拟坏境和抓包验证。

坏境模拟,拓扑如下

1.内网搭建pppoe网络,用防火墙拨号,跟总部本地防火墙搭建ipsec,屏幕运营商的影响。结果ipsec tunnel很快建立,两端preshared key不匹配时,events里可以看到ipsec 一直在协商。

2.内网搭建pppoe网络,用防火墙拨号,跟分部防火墙搭建ipsec,穿透两层NAT,因为总部是public ip,猜想运营商没做屏蔽。ipsec tunnel没建立成功,但pppoe 防火墙一直会有ipsec 协商日志出现,并不会出现不协商的情况。跟分部不能建立ipsec tunnel 的原因:
a.preshared key不匹配(特意排查过,依旧出错,应该不是key的原因)
b.总部防火墙已经跟分部建立ipsec 隧道,模拟的pppoe网络在总部防火墙内网,造成冲突。

原文地址:https://blog.51cto.com/14439340/2418469

时间: 2024-11-07 11:29:29

运营商ppoe网络对v pn端口的屏蔽的相关文章

自动化停车场4G无线带宽接入运营商4G网络

方案需求 即使新增了大量的地面和地下停车库,但要在台北找到了一个停车位却依然非常困难.在一个拥挤的车库中寻找空位不仅令人心烦意乱,也同时浪费了宝贵的时间和燃料.如果系统集成商可以构建一个控制系统,自动显示空车位的数量,这将可以帮助司机减少大量寻找空车位的时间.欣仰邦的客户正负责为一个可容纳超过300辆车的停车库研发这样一个系统,该系统从控制室接收数据,从而在显示屏上显示当前的空车位信息. 技术部署 ★ 通讯设备必须适于安装在一个紧凑的LED信息屏(厚度仅5-7cm),且安装方便 ★ LED信息屏

无线视频传输监控交通运营商4G网络组网

方案需求 高速公路线性特点.投资规模.供电及传输通道等因素的限制,监控系统布设密度非常有限,存在很多监控盲区.应用广泛的3G/4G工业路由进行组网, 实现对监控盲区路段和地区的实时视频监控输,补充了整个高速公路视频监控的不足,提高了相关部门对高速公路的管控力度. 技术部署 高速公路监控采用太阳能供电系统,主控系统通过网线与3G/4G无线路由进行相连,从而与远端监控中心实现了互通.太阳能供电系统,视频监控探头,主控板在主控箱内,无线路由与主控板相连.3G/4G网络覆盖,为高速公路监控系统提供有效网

用「组合分析」功能诊断运营商在不同地域的网络性能

在以往,我们使用移动应用的「地域」功能,仅仅只可以查看各个地域的 HTTP 响应时间及排名.如果使用「运营商」功能,还可以查看各个运营商的 HTTP 响应时间以及排名.不过,此前这两个功能是各自独立的,并无什么关联,所以提供的信息过于粗放,不利于分析问题. 如果想了解各个运营商在不同地域的网络性能,我们该如何实现呢?现在,应用性能管理平台新兴领军企业 OneAPM 推出了 Mobile Insight 「组合分析」功能,就能够做到这一点! 首先,在组合分析页面,选择您关心的网络性能指标,譬如平均

电信运营商城域网架构关键技术-QinQ双层标签

QinQ技术的应用场景: 在运营商的网络中每一个用户都需要放入一个单独的VLAN中,以便实现进行各用户之间的隔离,但是由于802.1q中VLAN TAG只有12比特,导致 vlan数量最多只能有4096个无法满足城域网中大量用户的隔离需求,这时就用到了QinQ技术. QinQ技术是通过在原有的802.1q的基础上增加了一层802.1q标签来实现的,使得VLAN数量扩展到4094 * 4094个.如下图: 下面通过实验来详细说明,通过华为设备在运营商城域网中如何部署QINQ技术. 实验拓扑 使用e

移动化时代来临 运营商如何拥抱移动云计算

云计算正在从1.0时代迈向更加成熟.更加实用的2.0时代.今天,云计算的概念已经深入人心,云计算产品和应用层出不穷,云计算和移动互联网的融合也加速.如果说云计算以前还只是高科技互联网企业的新宠,那么今天越来越多的普通企业以及个人开始接触和应用云计算.研究机构的统计数据显示,2014年全球云计算市场快速发展.在2015年,云计算产业还将迎来更大的发展. 移动云计算是云计算技术与移动通信技术结合的产物,利用移动云计算的各种无线互联网的服务将深入到人们的生活中,它的出现和应用将成为通信产业发展的关键一

运营商发展公有云的五种模式--【软件和信息服务】2015.04

这两年公有云发展的如火如荼,运营商受到OTT的打压,自然也不甘落后.虽然发展公有云的形式各异,但运营商发展公有云有五种常见模式. 1)自研模式 自研模式是最高大上的模式,也是所有开源组织最热衷的模式,既然云操作系统.云安全.SDN.NFV等都提供了开源选择,运营商作为高大上的用户,当然很多人想到就是自研.比如现今如日中天的OpenStack.Xen等都为运营商开发自己的云平台提供了很好的基础,Google.阿里云等都为运营商树立了很好的榜样.并且也确实有运营商基于这种模式在运行,包括Verizo

运营商联手打车软件注定只是场闹剧?

移动互联网的魔力,不仅让我们体验到科幻片中的种种科幻场景,更颠覆了诸多行业,甚至还打破根深蒂固的观念和态势.在移动互联网飞速发展的过程中,深受影响的无疑是基础运营商.以往在国内居于垄断地位的运营商,再也不能"吆五喝六"地把互联网企业.从业人员玩得团团转.更不可能凭借一纸通知,就扭转自己所处的不利位置.如今,运营商更多的是使用"怀柔政策",与互联网企业进行合作. 近日,运营商就开始联手打车软件.这场合作最大亮点,就是运营商开始与互联网企业坐在平等的位置,甚至付出更多.

运营商劫持

catalogue 1. 引言 2. DNS劫持 3. HTTP 劫持 4. 路由软件中植入劫持代码.用户PC本地木马 5. 劫持弹广告检测.防御手段 6. 检测方案 1. 引言 0x1: 原始的 DNS 投毒(DNS劫持) DNS 作为互联网的基础设施之一,起到把域名转换成 IP 地址的作用,比如 www.baidu.com --> 115.239.211.112 .各大运营商通常会以省为单位建设 2-4 台递归(或缓存)DNS 给用户使用,在 PPPoE 拨号时自动配置. 假若用户输错了域名

坐看“云”起时!云计算成运营商的科技竞争利器

如今,5G.大数据.云计算.边缘计算.SD-WAN等技术的热度只增不减,成熟度和实用性成为了这些技术的新考题,其中,云计算在国内经过十几年的摸爬滚打已成为当前科技社会不可或缺的新兴技术之一. 如今,5G.大数据.云计算.边缘计算.SD-WAN等技术的热度只增不减,成熟度和实用性成为了这些技术的新考题,其中,云计算在国内经过十几年的摸爬滚打已成为当前科技社会不可或缺的新兴技术之一.近日,在中国移动第二届云计算大会上,中国移动副总经理李正茂对于云计算的过去.现在.未来进行了诗意的阐释. 他表示,中国