ipsec 的一个问题

始乱终弃

今天做了个实验，用GNS3做的
实验拓扑如图：

路由都做好，然后R1的配置如下：
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key cisco address 1.1.25.2
!
!
crypto ipsec transform-set chuanshuji esp-des esp-md5-hmac
!
crypto map vpnmap 10 ipsec-isakmp
set peer 1.1.25.2
set transform-set chuanshuji
match address vpn


R2和R1的配置基本一致
最后在R3上ping R4
结果是这个样的：

请问下是什么原因呢？是GNS3的原因，还是确实有哪没配置对呢？
这种现象大概会是什么原因呢？

tea

有意思，配置能给得详细点么？R1长pingR2，丢包么？

始乱终弃

R3有个默认路由到R1，R4有个默认路由到R2
然后R1的f0/0   R5  R2的f0/0起的ospf
ip地址是这样定的，比如R1和R3之间就是1.1.13.0/24 网段，上面ip地址为1，下面ip地址为2
R1和R5之间就是1.1.15.0/24网段，左边为1，右边为2
其他都同理

我大概贴下配置吧
R1：
interface FastEthernet0/0
ip address 1.1.15.1 255.255.255.0
duplex auto
speed auto
crypto map vpnmap
!
interface FastEthernet0/1
ip address 1.1.13.1 255.255.255.0
duplex auto
speed auto
!
ip route 1.1.24.0 255.255.255.0 FastEthernet0/0
!
ip access-list extended vpn
permit ip 1.1.13.0 0.0.0.255 1.1.24.0 0.0.0.255
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key cisco address 1.1.25.2
!
!
crypto ipsec transform-set chuanshuji esp-des esp-md5-hmac
!
crypto map vpnmap 10 ipsec-isakmp
set peer 1.1.25.2
set transform-set chuanshuji
match address vpn
!
!


R2基本配置和R1一样。

始乱终弃

额……奇怪了
我刚才把拓扑重新载入，然后配置载入，重启了整个拓扑的路由器
结果就奇迹般的没有这个现象了…………
全部都通了……
最近在学VPN……

始乱终弃

哦，不对，我做了个配置
我把R1和R2上的ip cef关掉了，R3 ping R4才是全部都是通的
如果我开启R1和R2上的ip cef， R3 ping R4 就是一通一掉的
我还在想为啥……

始乱终弃

发现个东西
如果我在R1和R2做静态路由
ip route 1.1.24.0 255.255.255.0 FastEthernet0/0
ip route 1.1.13.0 255.255.255.0 f0/0
并且开始ip cef的话，就会通一个包，掉一个包
关掉ip cef，就一直都是通的

如果我把静态路由做成
ip route 1.1.24.0 255.255.255.0 1.1.15.2
ip route 1.1.13.0 255.255.255.0 1.1.25.1
开启ip cef，ping会一直都是通的


有高手给个解释吗？

Kevin_Liu

薯薯

HOHO，LZ加油

始乱终弃

回复 8 # 薯薯 的帖子

嘿嘿，要走的路还长呢
向前辈学习

亮晶晶

顶起。