huangbing 发表于 2012-5-14 14:29:32

有时间帮帮忙,先谢谢了!

有时间帮帮忙,先谢谢了!
具体的需求见下面的附件,谢谢!!!

huangbing 发表于 2012-5-14 14:30:36

对了,环境为cisco packet tracer

紫川凌 发表于 2012-5-14 14:55:47

请把你的show run 贴出来文件打开只有拓扑。

王晓强 发表于 2012-5-14 18:31:17

其实可以把拓扑和部分配置也贴下~这样可以让更多的伙伴分享到这个问题~

薯薯 发表于 2012-5-14 18:44:10

什么问题?

Qihuan 发表于 2012-5-15 18:10:14

正确的配置在附件中,你看一下。。。
分部与分部之间也要建立IPsec VPN也是需要配置的,你根本就没有配置。
注意,在分部与分部之间配置IPSec VPN的感兴趣流的时候,应该配置另一条ACL,而不可以在ACL 100之后添加分部到分部的感兴趣流喔,有问题可以再提丫。。

renxiaoyao 发表于 2012-5-15 19:51:08

下载下来看看

Qihuan 发表于 2012-5-15 20:31:12

之前的配置还有些错误喔。。
主要是在你之前配置的总部的出口路由器上有错误。
错误的配置:
crypto map map1 10 ipsec-isakmp
set peer 172.1.2.2
set transform-set set1
match address 101!
crypto map map1 20 ipsec-isakmp
set peer 172.1.3.2
set transform-set set1
match address 101
access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.44.0 0.0.0.255
access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.36.0 0.0.0.255
如果按你之前这样的配置,总部ping不通分部2,因为当总部去往分部2优先匹配crypto map map1 10
(因为 两条crypto map 中匹配的ACL都是100,所以按顺序匹配,10比20先匹配),此时封装目的地址就会出现错误。
正确的配置:
crypto map map1 10 ipsec-isakmp
set peer 172.1.2.2
set transform-set set1
match address 101
!
crypto map map1 20 ipsec-isakmp
set peer 172.1.3.2
set transform-set set1
match address 102

access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.44.0 0.0.0.255
access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.36.0 0.0.0.255
完整正确的配置在附件中,有不懂的地方可以再交流喔。。
页: [1]
查看完整版本: 有时间帮帮忙,先谢谢了!