问

MSR 5620 与 MSR 2600 之前建立IPSEC VPN

IPSec VPN

2021-06-07提问

0关注
1收藏，974浏览

jeffrey liang

jeffrey liang 零段

粉丝：0人关注：2人

问题描述：

我之前总部和分部配置了IPSEC VPN，但是双方内网无法访问，请问一下什么问题啊，（配置如下）

总部

acl advanced 3101

rule permit ip source 10.10.0.0 0.0.0.255 destination 20.10.1.0 0.0.0.255

quit

ip route-static 20.10.1.0 255.255.255.0 gigabitethernet 2/0/2 1.1.1.1

ipsec transform-set tran1

encapsulation-mode tunnel

protocol esp esp

encryption-algorithm aes-cbc-128

esp authentication-algorithm sha1

quit

ipsec policy map1 10 manual

security acl 3101

transform-set tran1

remote-address 2.2.2.2

sa spi outbound esp 12345

sa spi inbound esp 54321

sa string-key outbound esp simple abcdefgymf

sa string-key inbound esp simple fmygfedcba

quit

interface gigabitethernet 2/0/2

ipsec apply policy map1

quit

分部

acl advanced 3101

rule permit ip source 20.10.1.0 0.0.0.255 destination 10.10.0.0 0.0.0.255

quit

ip route-static 10.10.0.0 255.255.255.0 gigabitethernet 0/0 2.2.2.2

ipsec transform-set tran1

encapsulation-mode tunnel

protocol esp

esp encryption-algorithm aes-cbc-128

esp authentication-algorithm sha1

quit ipsec policy use1 10 manual

security acl 3101

transform-set tran1

remote-address 1.1.1.1

sa spi outbound esp 54321

sa spi inbound esp 12345

sa string-key outbound esp simple fmygfedcba

sa string-key inbound esp simple abcdefgymf

quit interface gigabitethernet 0/0

ipsec apply policy use1

quit

组网及组网描述：

网络拓布图如下：

最佳答案

奇怪的流量

奇怪的流量九段

粉丝：27人关注：9人

两边各有一条静态路由可以去掉，下一跳写了本地地址，是无效路由，查路由表都查不到。你的数据其实走的还是出口的默认路由（应该用的是默认路由吧？）。

就是 ip route-static 20.10.1.0 255.255.255.0 gigabitethernet 2/0/2 1.1.1.1这里可以去掉，分部也一样。

ipsec的配置应该没问题，我用路由器的loopback口模拟终端地址可以正常通信。建议检查一下整条链路的路由。

3 个回答

按时间按赞数

得闲饮茶013

得闲饮茶013 九段

粉丝：133人关注：6人

您好，请知：
IPSEC VPN故障排查：
1、检查公网地址的连通性
2、检查ipsec acl是否配置正确（两端ACL以互为镜像的方式配置）
3、检查ike keychain/ike profile 协商参数配置是否正确（工作模式、keychain、identity、本端/对端隧道地址或隧道名称、NAT穿越功能v7自适应）
4、检查ipsec proposal（v5平台） /ipsec transform-set（v7平台）参数两端是否一致（封装模式、安全协议、验证算法、加密算法）
5、检查设备是否创建ipsec策略，并加载协商参数（acl、ike profile 、ipsec transform-set、对端隧道IP）
6、检查ipsec策略是否应用在正确的接口上

7、检查两端的感兴趣数据流是否已正确指定了源和目的。

IPSEC排查命令：
1、disp ipsec policy
2、disp acl
3、dis cu conf ike-profile
4、dis cu conf ike-keychain
5、display ike proposal
6、display ipsec transform-set
7、disp ike sa (verbose)
8、disp ipsec sa
9、reset ipsec sa
10、reset ike sa

麻烦看一下我的配置有问题吗

jeffrey liang 发表时间：2021-06-07

二仙桥大爷

二仙桥大爷六段

粉丝：11人关注：21人

dis ipsec sa有信息吗，隧道起来的不通，那就是内网路由的问题了

麻烦看一下我的配置有问题吗

jeffrey liang 发表时间：2021-06-07

<ymf-00>dis ipsec sa ------------------------------- Interface: GigabitEthernet2/0/2 ------------------------------- ----------------------------- IPsec policy: map1 Sequence number: 10 Mode: Manual ----------------------------- Tunnel id: 0 Encapsulation mode: tunnel Path MTU: 1428 Tunnel: local address: 183.222.43.213 remote address: 220.194.141.17 Flow: as defined in ACL 3101 [Inbound ESP SA] SPI: 54321 (0x0000d431) Connection ID: 4294967297 Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1 No duration limit for this SA [Outbound ESP SA] SPI: 12345 (0x00003039) Connection ID: 4294967296 Transform set: ESP-ENCRYPT-AES-CBC-128 ESP-AUTH-SHA1 No duration limit for this SA

jeffrey liang 发表时间：2021-06-07

这信息不对啊

二仙桥大爷发表时间：2021-06-07

我是按照上面配置的

jeffrey liang 发表时间：2021-06-07