IPSEC VPN求助~

x-focus · 发表于 2010-3-16 22:03:08

本帖最后由 x-focus 于 2010-3-18 13:42 编辑

R1与R3分别起LOOPBACK 口地址为172.16.10.1/24 172.16.20.1/24
R1的配置：
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#hash md5
R1(config-isakmp)#encryption des

R1(config)#crypto isakmp key spoto address 0.0.0.0

R1(config)#crypto ipsec transform-set myset
esp-des esp-md5-hmac

R1(config)#crypto map mymap 10 ipsec-isakmp
R1(config-crypto-map)#match address 100

R1(config-crypto-map)#set peer 23.1.1.3

R1(config-crypto-map)#set transform-set myset

R1(config)#access-list 100 permit ip 172.168.0.0 0.0.255.255 172.168.0.0 0.0.255.255

R1(config)#int s0
R1(config-if)#crypto map mymap

红色部分为疑问的配置,经测试需要定义到24位的网络号才可以通讯,疑问就在!这我定义源泉地址与目的地址为172.16.0.0/24被加密,为什么我定义主类网络号不能通讯呢?DEBUG IP PACKET发现不了问题,
DEBUG CRYPTO IPSEC看不大懂求帮助~~

ytw9278 · 发表于 2010-3-17 15:49:56

ACL定义的是VPN感兴趣流，172.16.10.0/24和172.16.20.0/24这两个网段都是172.16.0.0/16的子网，感兴趣的流要求在写ACL时，能让路由器触发VPN去建立隧道，让流量走VPN隧道。如果你写的都是/16的掩码，路由器就直接看成是本地Conneted的内容，没有触发VPN。
所以，这个ACL需要具体定义出VPN流量。
图画得很工整，还有疑问，可以跟帖讨论~

x-focus · 发表于 2010-3-19 16:10:59

本帖最后由 x-focus 于 2010-3-19 16:50 编辑

一楼正解~谢谢~

再写了两条access-list 100 permit ip 172.16.10.0 0.0.0.255 172.16.0.0 0.0.255.255

            access-list 100 permit ip 172.16.20.0 0.0.0.255 172.16.0.0 0.0.255.255
本地包含不了的内容也是不能通信的~

这样写又是可以通讯的             access-list 100 permit ip 172.16.10.0 0.0.0.255 172.16.20.0 0.0.0.255

                                       access-list 100 permit ip 172.16.20.0 0.0.0.255 172.16.0.0 0.0.255.255

x-focus · 发表于 2010-3-19 17:17:38

本帖最后由 x-focus 于 2010-3-19 17:22 编辑

又遇到问题了~~
发现172.16.10.1 PING 172.16.20.1  来回都走VPN隧道
172.16.10.1 traceroute 172.16.20.1 去走VPN隧道  回走公网地址--------导致不可达
TRACEROUTE过程中中间路由器收到数据包  返回目的地址172.16.10.1 没有路由不可达，右边路由器收到源地址为172.16.10.1的ICMP包，按感兴趣数据流应该走VPN隧道才是~？

账号		自动登录	找回密码
密码			立即注册

[讨论/求助] IPSEC VPN求助~

本帖子中包含更多资源