始乱终弃 发表于 2011-5-16 19:25:58

ipsec 的一个问题

今天做了个实验,用GNS3做的
实验拓扑如图:

路由都做好,然后R1的配置如下:
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key cisco address 1.1.25.2
!
!
crypto ipsec transform-set chuanshuji esp-des esp-md5-hmac
!
crypto map vpnmap 10 ipsec-isakmp
set peer 1.1.25.2
set transform-set chuanshuji
match address vpn


R2和R1的配置基本一致
最后在R3上ping R4
结果是这个样的:

请问下是什么原因呢?是GNS3的原因,还是确实有哪没配置对呢?
这种现象大概会是什么原因呢?

tea 发表于 2011-5-16 20:34:02

本帖最后由 tea 于 2011-5-16 20:35 编辑

有意思,配置能给得详细点么?R1长pingR2,丢包么?

始乱终弃 发表于 2011-5-16 21:54:29

R3有个默认路由到R1,R4有个默认路由到R2
然后R1的f0/0   R5R2的f0/0起的ospf
ip地址是这样定的,比如R1和R3之间就是1.1.13.0/24 网段,上面ip地址为1,下面ip地址为2
R1和R5之间就是1.1.15.0/24网段,左边为1,右边为2
其他都同理

我大概贴下配置吧
R1:
interface FastEthernet0/0
ip address 1.1.15.1 255.255.255.0
duplex auto
speed auto
crypto map vpnmap
!
interface FastEthernet0/1
ip address 1.1.13.1 255.255.255.0
duplex auto
speed auto
!
ip route 1.1.24.0 255.255.255.0 FastEthernet0/0
!
ip access-list extended vpn
permit ip 1.1.13.0 0.0.0.255 1.1.24.0 0.0.0.255
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key cisco address 1.1.25.2
!
!
crypto ipsec transform-set chuanshuji esp-des esp-md5-hmac
!
crypto map vpnmap 10 ipsec-isakmp
set peer 1.1.25.2
set transform-set chuanshuji
match address vpn
!
!


R2基本配置和R1一样。

始乱终弃 发表于 2011-5-16 22:01:21

额……奇怪了
我刚才把拓扑重新载入,然后配置载入,重启了整个拓扑的路由器
结果就奇迹般的没有这个现象了…………
全部都通了……
最近在学VPN……

始乱终弃 发表于 2011-5-16 22:04:38

哦,不对,我做了个配置
我把R1和R2上的ip cef关掉了,R3 ping R4才是全部都是通的
如果我开启R1和R2上的ip cef, R3 ping R4 就是一通一掉的
我还在想为啥……

始乱终弃 发表于 2011-5-16 22:15:29

发现个东西
如果我在R1和R2做静态路由
ip route 1.1.24.0 255.255.255.0 FastEthernet0/0
ip route 1.1.13.0 255.255.255.0 f0/0
并且开始ip cef的话,就会通一个包,掉一个包
关掉ip cef,就一直都是通的

如果我把静态路由做成
ip route 1.1.24.0 255.255.255.0 1.1.15.2
ip route 1.1.13.0 255.255.255.0 1.1.25.1
开启ip cef,ping会一直都是通的


有高手给个解释吗?

Kevin_Liu 发表于 2011-5-17 09:37:57

-woniu8 -

薯薯 发表于 2011-5-17 09:39:45

HOHO,LZ加油

始乱终弃 发表于 2011-5-17 10:08:35

回复 8 # 薯薯 的帖子

嘿嘿,要走的路还长呢
向前辈学习

亮晶晶 发表于 2011-5-17 11:43:20

顶起。-woniu5--woniu5-
页: [1] 2
查看完整版本: ipsec 的一个问题