MRS2600和MRS2630 VPN野蛮模式
- 0关注
- 1收藏,1456浏览
问题描述:
总部的路由器是V5版本,分支2的路由器是V7版本而且分支2是通过PPPOE动态获取ip地址,现在总部和分支之间做野蛮模式VPN,隧道建立不起来,帮忙看下配置是否有问题。
命令如下:
V5版本(总部)
#
acl number 3100
rule 0 permit ip source 192.168.3.2 0 destination 172.16.2.0 0.0.0.255
rule 5 permit ip source 192.168.3.10 0 destination 172.16.2.0 0.0.0.255
# ipsec transform-set 2
encapsulation-mode tunnel
transform esp
esp authentication-algorithm md5
esp encryption-algorithm 3des
#
ike peer 2
exchange-mode aggressive
pre-shared-key cipher 123
remote-name fenbu2
local-address 20.1.1.1
nat traversal
# ipsec policy map 15 isakmp
security acl 3100
ike-peer 2
local-address 20.1.1.1
transform-set 2
# interface GigabitEthernet0/1
ipsec policy map
V7版本(分支2)
#
acl advanced 3000
rule 0 permit ip source 172.16.2.0 0.0.0.255 destination 192.168.3.2 0
rule 5 permit ip source 172.16.2.0 0.0.0.255 destination 192.168.3.10 0
#
ike identity fqdn fenbu2
#
ipsec transform-set 2
esp encryption-algorithm 3des-cbc
esp authentication-algorithm md5
#
ike proposal 2
encryption-algorithm 3des-cbc
authentication-algorithm md5
#
ike keychain 2
pre-shared-key address 20.1.1.1 255.255.255.0 key cipher 123
# ike profile 2
keychain 2
exchange-mode aggressive
local-identity fqdn fenbu2
match remote identity address 20.1.1.1 255.255.255.0
proposal 2
# ipsec policy-template 2 2
transform-set 2
security acl 3000
ike-profile 2
#
ipsec policy fenbu2 10 isakmp template 2
#
interface Dialer1
ipsec apply policy fenbu2
组网及组网描述:
- 2018-09-07提问
- 举报
-
(0)
最佳答案
看看 建立到哪一步了 IKE sa神马的状态……可以参考这个简单排查,反馈的信息可以联系400一起看看……你的配置也没有环境,就没仔细看,有点对不住。
1、通过display ipsec sa、display ike sa查看哪个阶段协商出现问题;
2、确保两端公网地址可以互相ping通,确保ping延时不会太大且不丢包;
3、确定中间是否过NAT设备,确保IKE协商模式使用正确;
4、确保两端IPSEC和IKE相关参数配置一致、相互对应;
5、确保两端配置的感兴趣流为镜像关系,确保本端的nat outbound acl里deny掉了IPSEC流量,或者在出接口配置了ipsec no-nat-process enable命令;
6、在进行内网流量触发的情况下在MSR上通过debugging ike all、debugging ipsec all、debugging ike error、debugging ipsec error等命令收集信息,收集用户组网拓扑和相关配置信息进行排查定位;
典配参考这个,能找到的全部典配了哦
MSR V5和MSR V7路由器IPSec VPN对接典型配置(主模式)
http://help.h3c.com/robot/p4data/16798113f0d14f268ab8f38d992b2194/
MSR V5和MSR V7路由器IPSec VPN对接典型配置(野蛮模式)
http://help.h3c.com/robot/p4data/80a98f6c135043a7af382ed7a3ca01f5/
MSR V5路由器固定地址对接IPSec VPN典型配置(WEB界面)
http://help.h3c.com/robot/p4data/75b138f13c76450cad071c0ec9b71ba1/
MSR V5路由器IPSec VPN穿越NAT典型配
http://help.h3c.com/robot/p4data/651e4cb1d43943b9b7f76c4c57166a05/
MSR V7路由器IPSec VPN穿越NAT典型配
http://help.h3c.com/robot/p4data/2fb65fe9748041778507044c9c36f0eb/</HTML>
- 2018-09-07回答
- 评论(3)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
使用disp ike sa和dis ipsce sa 都看不到信息,跳出来都是空白的。
还有看了你分享的第二个连接的案例,案例中V5的是动态获取地址,我的是V7的动态获取地址,我对这案例调整了一下但还是建立不起来。
出差刚回来……你可以按照楼下建议 debug 看下这两个阶段哪个阶段出了问题 看不懂debug信息的话 可以联系400分析