文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >思科路由器路由器IPSEC配置

思科路由器路由器IPSEC配置
EN

Server Fault用户
提问于 2012-12-30 15:32:32
回答 1查看 732关注 0票数 0

我有以下的配置,

R1:

代码语言:javascript
复制
crypto keyring KR
  pre-shared-key address 1.1.1.2 key cisco
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp profile PROFILE
   keyring KR
   match identity address 1.1.1.2 255.255.255.255
!
!
crypto ipsec transform-set TRANSFORM_SET esp-3des esp-sha-hmac
!
crypto map MAP 10 ipsec-isakmp
 set peer 1.1.1.2
 set transform-set TRANSFORM_SET
 set isakmp-profile PROFILE
 match address IPSEC_ACL
!    
ip access-list extended IPSEC_ACL
 permit ip host 1.1.1.1 host 1.1.1.2
!
int e0/0
ip address 1.1.1.1 255.255.255.0
crypto map MAP

和R2:

代码语言:javascript
复制
crypto keyring KR
  pre-shared-key address 1.1.1.1 key cisco
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp profile PROFILE
   keyring KR
   match identity address 1.1.1.1 255.255.255.255
!
!
crypto ipsec transform-set TRANSFORM_SET esp-3des esp-sha-hmac
!
crypto map MAP 10 ipsec-isakmp
 set peer 1.1.1.1
 set transform-set TRANSFORM_SET
 set isakmp-profile PROFILE
 match address IPSEC_ACL
!    
ip access-list extended IPSEC_ACL
 permit ip host 1.1.1.2 host 1.1.1.1
!
int e0/0
ip address 1.1.1.2 255.255.255.0
crypto map MAP

IPSEC隧道不知道为什么吗?

cisco
ipsec
EN

回答 1

Server Fault用户

发布于 2012-12-30 19:17:43

匹配地址ACL应该是将通过链路的IP范围,而不是密码映射所在的IP。

例如,如果IP范围192.168.1.0/24在R1上,192.168.2.0/24在R2上,而192.168.1.0/24上的主机希望通过隧道与192.168.2.0/24通信,则需要将ACL设置为以下内容。

R1

代码语言:javascript
复制
ip access-list extended IPSEC_ACL
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

R2

代码语言:javascript
复制
ip access-list extended IPSEC_ACL
 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

当流量从192.168.1.0/24到192.168.2.0/24或192.168.2.0/24到192.168.1.0/24之间时,路由器将尝试打开隧道。

您可以尝试使用以下方法查看调试输出,以查看隧道在什么地方出现故障

代码语言:javascript
复制
debug crypto isakmp
debug crypto ipsec

若要禁用调试,请使用

代码语言:javascript
复制
undebug all

代码语言:javascript
复制
no debug all

如果看不到任何调试输出,则可能需要启用终端监视器。

代码语言:javascript
复制
terminal monitor
票数 2
EN
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://serverfault.com/questions/461796

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档