雏鹰部落

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 1278|回复: 2

[讨论/求助] 关于基于Double SVTI的IPSec VPN诡异问题

[复制链接]
发表于 2013-6-6 22:56:24 | 显示全部楼层 |阅读模式
关于基于Double SVTI的IPSec VPN诡异问题,求解!!!


实验拓扑:



实验步骤:


a.      配置分支站点:
配置IPSec VPN
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#hash md5
R1(config-isakmp)#ex
R1(config)#crypto isakmp key cisco address 23.1.1.3
R1(config)#crypto isakmp key cisco address 24.1.1.4
R1(config)#crypto ipsec transform-set cisco esp-3des esp-md5-hmac
R1(cfg-crypto-trans)#ex     
R1(config)#crypto ipsec profile pro
R1(ipsec-profile)#set transform-set cisco
R1(ipsec-profile)#ex
配置双SVTI隧道:
R1(config)#interface tunnel 0
R1(config-if)#ip add 13.1.1.1 255.255.255.0
R1(config-if)#tunnel source 12.1.1.1
R1(config-if)#tunnel destination 23.1.1.3
R1(config-if)#tunnel mode ipsec ipv4
R1(config-if)#tunnel protection ipsec profile pro
R1(config-if)#ex
R1(config)#interface tunnel 1
R1(config-if)#ip add 13.
R1(config-if)#ip add 14.1.1.1 255.255.255.0
R1(config-if)#tunnel source 12.1.1.1
R1(config-if)#tunnel destination 24.1.1.4
R1(config-if)#tunnel mode ipsec ipv4
R1(config-if)#tunnel protection ipsec profile pro
R1(config-if)#no shut
R1(config-if)#ex
R1(config)#
配置EIGRP
R1(config)#router eigrp 1
R1(config-router)#no auto-summary
R1(config-router)#eigrp router-id 1.1.1.1
R1(config-router)#network 1.1.1.1 0.0.0.0
R1(config-router)#network 13.1.1.1 0.0.0.0
R1(config-router)#network 14.1.1.1 0.0.0.0
R1(config-router)#ex
R1(config)#
b.      配置中心站点Primary路由器:
配置IPSec VPN
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#group 2
R3(config-isakmp)#hash md5
R3(config-isakmp)#ex
R3(config)#crypto isakmp key cisco address 12.1.1.1
R3(config)#crypto ipsec transform-set cisco esp-3des esp-md5-hmac
R3(cfg-crypto-trans)#ex
R3(config)#crypto ipsec profile pro
R3(ipsec-profile)#set transform-set cisco
R3(ipsec-profile)#ex
R3(config)#
配置SVTI隧道:
R3(config)#interface tunnel 0
R3(config-if)#ip add 13.1.1.3 255.255.255.0
R3(config-if)#tunnel source 23.1.1.3
R3(config-if)#tunnel destination 12.1.1.1
R3(config-if)#tunnel mode ipsec ipv4
R3(config-if)#tunnel protection ipsec profile pro
R3(config-if)#no shut
R3(config-if)#ex
R3(config)#
配置EIGRP:
R3(config)#router eigrp 1
R3(config-router)#no auto-summary
R3(config-router)#eigrp router-id 3.3.3.3
R3(config-router)#network 192.168.34.0 0.0.0.255
R3(config-router)#network 13.1.1.3 0.0.0.0
R3(config-router)#ex
R3(config)#
c.       配置中心站点Secondary路由器:
配置IPSec VPN
R4(config)#crypto isakmp policy 10
R4(config-isakmp)#authentication pre-share
R4(config-isakmp)#encryption 3des
R4(config-isakmp)#group 2
R4(config-isakmp)#hash md5
R4(config-isakmp)#ex
R4(config)#crypto isakmp key cisco address 12.1.1.1
R4(config)#crypto ipsec transform-set cisco esp-3des esp-md5-hmac
R4(cfg-crypto-trans)#ex
R4(config)#crypto ipsec profile pro
R4(ipsec-profile)#set transform-set cisco
R4(ipsec-profile)#ex
R4(config)#
配置SVTI隧道:
R4(config)#interface tunnel 0
R4(config-if)#ip add 14.1.1.4 255.255.255.0
R4(config-if)#tunnel source 24.1.1.4   
R4(config-if)#tunnel destination 12.1.1.1
R4(config-if)#tunnel mode ipsec ipv4
R4(config-if)#tunnel protection ipsec profile pro
R4(config-if)#no shut
R4(config-if)#ex
R4(config)#
配置EIGRP
R4(config)#router eigrp 1
R4(config-router)#no auto-summary
R4(config-router)#eigrp router-id 4.4.4.4
R4(config-router)#network 192.168.34.0 0.0.0.255  
R4(config-router)#network 14.1.1.4 0.0.0.0
R4(config-router)#ex
R4(config)#
d.      配置ServerR5):
配置EIGRP
R5(config)#router eigrp 1
R5(config-router)#no auto-summary
R5(config-router)#eigrp router-id 5.5.5.5
R5(config-router)#network 5.5.5.5 0.0.0.0
R5(config-router)#network 192.168.34.0 0.0.0.255
R5(config-router)#ex
R5#
配置完成后诡异的事情出现了,R1,R5都有各自的路由,但是R1  Ping  R5时,R5收到ICMP Request后,却无法将ICMP Reply发送出去:
R1路由表:
R3路由表:
R4路由表:
R5路由表:
R1 Ping R5:
                          
R5收到ICMP包后:
R4、R3没有收到任何ICMP包:
求解!!!!!!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
发表于 2013-6-8 11:12:42 | 显示全部楼层
本帖最后由 victor_huang 于 2013-6-8 11:49 编辑

看一看,测一测,配置没问题啊~,路由都是对的,我的测试结果
R1#ping 5.5.5.5 source 1.1.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 5.5.5.5, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 52/141/256 ms


R5#
*Mar  1 00:42:09.463: ICMP: echo reply sent, src 5.5.5.5, dst 1.1.1.1
*Mar  1 00:42:09.775: ICMP: echo reply sent, src 5.5.5.5, dst 1.1.1.1
*Mar  1 00:42:09.927: ICMP: echo reply sent, src 5.5.5.5, dst 1.1.1.1
*Mar  1 00:42:10.027: ICMP: echo reply sent, src 5.5.5.5, dst 1.1.1.1
*Mar  1 00:42:10.135: ICMP: echo reply sent, src 5.5.5.5, dst 1.1.1.1

 楼主| 发表于 2013-6-8 20:20:53 | 显示全部楼层
victor_huang 发表于 2013-6-8 11:12
看一看,测一测,配置没问题啊~,路由都是对的,我的测试结果
R1#ping 5.5.5.5 source 1.1.1.1

额。。。不知道怎么回事,我的就是不通。。。{:soso_e136:}{:soso_e136:}{:soso_e136:}
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|熊猫同学技术论坛|小黑屋| 网络工程师论坛 ( 沪ICP备09076391 )

GMT+8, 2024-3-28 21:30 , Processed in 0.082794 second(s), 19 queries , Gzip On.

快速回复 返回顶部 返回列表