如何使用思科路由器上的IPSec配置文件定义有趣的流量？

Question

如果这是重复，我很抱歉，但我很难弄清楚如何使用隧道接口引用的IPSec配置文件在思科路由器上定义有趣的流量。

定义有趣流量的传统方法是使用应用于接口的加密映射。如果通过该接口的通信量与加密映射下配置的访问列表匹配，则在其通过IPSec隧道发送时对其进行加密。如果没有，流量仍然可以通过接口，只是没有加密。

使用IPSec配置文件，您可以配置一个隧道接口来使用它作为“保护”，并且根据您使用的模式，它可以是一个直向上的IPSec隧道，也可以是该IPSec隧道内的另一种类型的隧道(gre)。

我想知道的是:使用IPSec配置文件，所有穿越隧道的通信都是加密的。您似乎不必选择通过ACL定义有趣的流量。当另一方使用带有定义有趣流量的ACL的加密映射时，这是如何工作的？这似乎是可行的，但我不知道为什么，因为ACL应该是第二阶段谈判的一部分。

Answer 1

VTI (虚拟隧道接口，tunnel mode ipsec ipv4)的第二阶段谈判将提供0/0.0.0.0:0作为“本地子网”，并在Phase2协商期间接受0/0.0.0.0:0 (扩展为“任何协议、任何ip、任何端口”)为“远程子网”。如果遥控器能应付的话-那就是你的隧道了。

借助show crypto ipsec sa，您应该能够看到这一点。