IPSEC VPN求助~
本帖最后由 x-focus 于 2010-3-18 13:42 编辑R1与R3分别起LOOPBACK 口地址为172.16.10.1/24172.16.20.1/24
R1的配置:
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#hash md5
R1(config-isakmp)#encryption des
R1(config)#crypto isakmp key spoto address 0.0.0.0
R1(config)#crypto ipsec transform-set myset
esp-des esp-md5-hmac
R1(config)#crypto map mymap 10 ipsec-isakmp
R1(config-crypto-map)#match address 100
R1(config-crypto-map)#set peer 23.1.1.3
R1(config-crypto-map)#set transform-set myset
R1(config)#access-list 100 permit ip 172.168.0.0 0.0.255.255 172.168.0.0 0.0.255.255
R1(config)#int s0
R1(config-if)#crypto map mymap
红色部分为疑问的配置,经测试需要定义到24位的网络号才可以通讯,疑问就在!这我定义源泉地址与目的地址为172.16.0.0/24被加密,为什么我定义主类网络号不能通讯呢?DEBUG IP PACKET发现不了问题,
DEBUG CRYPTO IPSEC看不大懂求帮助~~
ACL定义的是VPN感兴趣流,172.16.10.0/24和172.16.20.0/24这两个网段都是172.16.0.0/16的子网,感兴趣的流要求在写ACL时,能让路由器触发VPN去建立隧道,让流量走VPN隧道。如果你写的都是/16的掩码,路由器就直接看成是本地Conneted的内容,没有触发VPN。
所以,这个ACL需要具体定义出VPN流量。
图画得很工整,还有疑问,可以跟帖讨论~ 本帖最后由 x-focus 于 2010-3-19 16:50 编辑
一楼正解~谢谢~
再写了两条access-list 100 permit ip 172.16.10.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 100 permit ip 172.16.20.0 0.0.0.255 172.16.0.0 0.0.255.255
本地包含不了的内容也是不能通信的~
这样写又是可以通讯的 access-list 100 permit ip 172.16.10.0 0.0.0.255 172.16.20.0 0.0.0.255
access-list 100 permit ip 172.16.20.0 0.0.0.255 172.16.0.0 0.0.255.255 本帖最后由 x-focus 于 2010-3-19 17:22 编辑
又遇到问题了~~
发现172.16.10.1 PING 172.16.20.1来回都走VPN隧道
172.16.10.1 traceroute 172.16.20.1 去走VPN隧道回走公网地址--------导致不可达
TRACEROUTE过程中中间路由器收到数据包返回目的地址172.16.10.1 没有路由不可达, 右边路由器收到源地址为172.16.10.1的ICMP包,按感兴趣数据流应该走VPN隧道才是~?
页:
[1]