SecPath U200-M和ER5200 G2野蛮模式互联
- 0关注
- 1收藏,1339浏览
问题描述:
防火墙U200-M为总部,电信和移动双线固定IP接入,移动端开启IPSEC VPN,两边都配好,但是ER开启VPN后没有IKE 协商的日志,不知是哪里没配好
组网及组网描述:
总部配置:
#
ike local-name huizhou
# ipsec sa global-duration time-based 86400
acl number 3090
description ipsec vpn to hangzhou
rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.90.0 0.0.0.255
rule 20 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.90.0 0.0.0.255
rule 40 permit ip source 192.168.40.0 0.0.0.255 destination 192.168.90.0 0.0.0.255
#
ike peer hangzhou
exchange-mode aggressive
pre-shared-key cipher +MGS6bX9XT8=
id-type name
remote-name hangzhou
#
ipsec policy banch 90 isakmp
security acl 3090
ike-peer hangzhou
proposal 1
#
interface GigabitEthernet0/3
port link-mode route
description this port is link to China Mobile's Fiber Converter
nat outbound 3003
ip address x.x.x.x 255.255.255.248
ipsec policy banch
分支截图
- 2018-07-03提问
- 举报
-
(0)
最佳答案
debug ike all 看看报什么错,按照报错改。
- 2018-07-03回答
- 评论(1)
- 举报
-
(0)
是断开的时候这样操作吗,会不会影响U200-M的性能,debug完后自动关还是执行什么命令关
配置有两个问题:
1、ER路由器建立ipsec需要写一条目的地址为对端内网到ipsec 0接口的路由。
2、MSR路由器需要在nat里deny掉ipsec的兴趣流。
- 2018-07-03回答
- 评论(1)
- 举报
-
(0)
这两个都做了,总部U200-M已经在3003里面DENY掉IPSEC VPN的流量,分支有写静态路由,是我没截图完整
这两个都做了,总部U200-M已经在3003里面DENY掉IPSEC VPN的流量,分支有写静态路由,是我没截图完整
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
是断开的时候这样操作吗,会不会影响U200-M的性能,debug完后自动关还是执行什么命令关