总部ER3260 固定IP,分支是AR120 pppoe拨号上网。总部与分支之间无法建IPSEC VPN。不知道我配置对不对。跪求大神帮忙。
[SZ-BG-HX-R-AR120-01-acl-adv-ju-vpn]dis ike sa
Conn-ID Peer VPN Flag(s) Phase
---------------------------------------------------------------
2751 0.0.0.0 0 1
Flag Description:
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP
AR120的配置:
acl name ju-vpn 3999
rule 10 permit ip destination 192.168.21.0 0.0.0.255
#
ipsec proposal Ju-vpn10
esp authentication-algorithm sha1
esp encryption-algorithm aes-256
#
ike proposal 1
encryption-algorithm aes-cbc-256
dh group2
authentication-algorithm sha1
prf hmac-sha2-256
#
ike peer ju-vpn-sh v1
exchange-mode aggressive
pre-shared-key simple 123456
ike-proposal 1
remote-name shanghai
local-id shenzhen
remote-address x.x.x.x
#
ipsec policy Ju-vpn 10 isakmp
security acl 3999
ike-peer ju-vpn-sh
proposal Ju-vpn10
sa trigger-mode traffic-based
route inject dynamic
3260配置:
(0)
最佳答案
从ar这边来看,第一阶段没有协商过去,应该配置上有点问题,再对比一下吧。
举例,AR这边的acl是 rule 10 permit ip destination 192.168.21.0 0.0.0.255 ,而ER这边是保护从192.168.21.0/24到192.168.6.0/24,两端不匹配。应该改成AR这边是undo rule 10,rule permit ip source 192.168.6.0 0.0.0.255 desti 192.168.21.0 0.0.0.255这样。
其他配置也对比一下
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
您好,改了后还是一样的,ER3260的ike-peer里的IP地址是必填的,那0.0.0.0可以的吗
可以的,0.0.0.0就是匹配所有对端ID,类似于不检测这一项