H3C MSR路由器问题,NAT和ipsec同时存在于一个接口下
- 0关注
- 1收藏,889浏览
问题描述:
已经把IPSec的流从NAT的ACL中deny,但ipsec的数据还是不进隧道。
组网及组网描述:
- 2021-12-07提问
- 举报
-
(0)
acl中是让deny的流量去走ipsec vpn链路
- 2021-12-07回答
- 评论(2)
- 举报
-
(0)
我用的是ipsec policy-template方式,这个有影响吗
安全模板模式的话只需要在nat里拒绝就行,ipsec中不用引用acl
已经配置了,还是走外层
ACL 3001是NAT的
acl advanced 3001
rule 0 deny ip source 192.168.6.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 10 deny ip source 192.168.6.0 0.0.0.255 destination 192.168.11.0 0.0.0.255
rule 15 deny ip source 172.16.0.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 16 deny ip source 10.10.0.0 0.0.255.255 destination 192.168.2.0 0.0.0.255
rule 17 deny ip source 10.10.0.0 0.0.255.255 destination 192.168.3.0 0.0.0.255
rule 20 permit ip source 10.10.0.0 0.0.255.255
rule 30 permit ip source 192.168.6.0 0.0.0.255
rule 1000 deny ip
ACL 3200是ipsec的
acl advanced 3200
rule 0 permit ip source 10.10.0.0 0.0.255.255 destination 192.168.2.0 0.0.0.255
rule 5 permit ip source 10.10.0.0 0.0.255.255 destination 192.168.3.0 0.0.0.255
rule 10 permit ip source 172.16.0.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 1000 deny ip
现在抓包发现数据没走IPSEC,是裸IP
现在是在MSR上 ping -a 172.16.0.1 192.168.2.1
- 2021-12-07回答
- 评论(2)
- 举报
-
(0)
ipsec的acl中可以不用加deny的那个,你对端设置对了吗,
ipsec的acl中可以不用加deny的那个,你对端设置对了吗,
ipsec的acl中可以不用加deny的那个,你对端设置对了吗,
接口下先调用nat,然后再调用ipsec 策略
- 2021-12-07回答
- 评论(1)
- 举报
-
(1)
是这样的,不过ACL的条目是后加的
是这样的,不过ACL的条目是后加的
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
安全模板模式的话只需要在nat里拒绝就行,ipsec中不用引用acl