有时间帮帮忙，先谢谢了！

huangbing · 发表于 2012-5-14 14:29:32

有时间帮帮忙，先谢谢了！
具体的需求见下面的附件，谢谢！！！

huangbing · 发表于 2012-5-14 14:30:36

对了，环境为cisco packet tracer

紫川凌 · 发表于 2012-5-14 14:55:47

请把你的show run 贴出来文件打开只有拓扑。

王晓强 · 发表于 2012-5-14 18:31:17

其实可以把拓扑和部分配置也贴下~这样可以让更多的伙伴分享到这个问题~

薯薯 · 发表于 2012-5-14 18:44:10

什么问题？

Qihuan · 发表于 2012-5-15 18:10:14

正确的配置在附件中，你看一下。。。
分部与分部之间也要建立IPsec VPN也是需要配置的，你根本就没有配置。
注意，在分部与分部之间配置IPSec VPN的感兴趣流的时候，应该配置另一条ACL，而不可以在ACL 100之后添加分部到分部的感兴趣流喔，有问题可以再提丫。。

renxiaoyao · 发表于 2012-5-15 19:51:08

下载下来看看

Qihuan · 发表于 2012-5-15 20:31:12

之前的配置还有些错误喔。。
主要是在你之前配置的总部的出口路由器上有错误。
错误的配置：
crypto map map1 10 ipsec-isakmp
set peer 172.1.2.2
set transform-set set1
match address 101!
crypto map map1 20 ipsec-isakmp
set peer 172.1.3.2
set transform-set set1
match address 101
access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.44.0 0.0.0.255
access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.36.0 0.0.0.255
如果按你之前这样的配置，总部ping不通分部2，因为当总部去往分部2优先匹配crypto map map1 10
（因为两条crypto map 中匹配的ACL都是100，所以按顺序匹配，10比20先匹配），此时封装目的地址就会出现错误。
正确的配置：
crypto map map1 10 ipsec-isakmp
set peer 172.1.2.2
set transform-set set1
match address 101
!
crypto map map1 20 ipsec-isakmp
set peer 172.1.3.2
set transform-set set1
match address 102

access-list 102 permit ip 192.168.20.0 0.0.0.255 192.168.44.0 0.0.0.255
access-list 101 permit ip 192.168.20.0 0.0.0.255 192.168.36.0 0.0.0.255
完整正确的配置在附件中，有不懂的地方可以再交流喔。。

账号		自动登录	找回密码
密码			立即注册

[讨论/求助] 有时间帮帮忙，先谢谢了！

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源