王晓强 发表于 2011-4-6 22:06:43

hui8821637 发表于 2011-4-6 16:16 static/image/common/back.gif
不好意思各位帮忙的兄弟们   
问题是这样的。我现在做的是remote vpn几个分部的人上网拨这个VPN
其中一 ...

看来只能看看配置和环境了,如果和配置无关,就是升级重启和换设备了~

Power 发表于 2011-4-7 08:57:15

嗯。需要更详细的信息,如:关键配置,拨入后主机和ASA上的路由表、ping。

Power 发表于 2011-4-7 08:58:47

IOS是什么版本?有可能像JEFF说的,版本需要升级,建议去官方查阅IOS。

hui8821637 发表于 2011-4-7 18:36:21

-woniu1-我觉得很可能是IOS版本太低了。
也有可能是电信这边有限制。
暂时还没动作 我求一个CCIE帮我看了 还没消息。
回9L route里边有到这个主机的route。

hui8821637 发表于 2011-4-12 18:27:00

终于知道答案了。是关于IPsec穿透NAT的问题。
在建立IPsec通道时,如果通道路径上有NAT设备也不会影响第一阶段的IKE SA的协商和第二阶段IPSec SA的协商,因为通常将IKE的数据包封装在UDP数据包中,
但是,在完成第二阶段协商后, IPsec数据包上的NAT会导致通道失败,(也就是说IPsec的通道可以建立,但是真正的User的数据无法传输)
用了ipsec over tcp
但是我还是很纠结 。

布凡 发表于 2011-4-14 01:21:31

回复 15 # hui8821637 的帖子

嗯感谢LZ糟糕的记性
默认 ROU IOS开启的
ASA 忘记了
NAT-T4500UDP和 TCP 10000CISCO 私有的
页: 1 [2]
查看完整版本: 关于ASA5510 vpn 的一点问题