• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
案例类型
搜索
取消
产品线
关键字
发布者
发布时间

MRS810-LM 3G+ipsec与中心ASA5520建立IPSECvpn

2017-09-29提问
  • 0关注
  • 0收藏,1301浏览
粉丝:0人 关注:0人

问题描述:

MRS810 3G 配置完成,内网上网正常。在3G接口上添加Ipsecvpn配置,但是dis ike sa,dis ipsec sa 都没有信息,不知道是什么问题,请各位老师解答疑惑。

MRS810 OS版本是V7的

最佳答案

zhiliao_18204 知了小白
粉丝:0人 关注:0人

原来分支是通过ASA5505 通过pppoe+vpdn的方式连接到总部ASA5520访问资源正常的,现在客户环境要求进行了变化:

本端设备 H3C MSR810-LM

对端设备 Cisco ASA5520

(spoke)MSR810-LM-- 4G--Internet--Enternet--ASA5520-X(Hub)


4G可以正常上网。

MSR810本地,配置完ipsec并没有 ipsec 加密隧道信息,Ike第一阶段也没有。


IPSEC关键配置如下:


MSR 810-LM配置:

interface Eth-channel1/0:0
 dialer circular enable
 dialer-group 89
 dialer timer autodial 5
 dialer number #777 autodial
 ip address cellular-alloc
 tcp mss 1280
 nat outbound
 apn-profile apply profile69
 ipsec apply policy To_HUB

ipsec transform-set To_HUB
 esp encryption-algorithm des-cbc
 esp authentication-algorithm md5
#
ipsec policy To_HUB 65534 isakmp
 transform-set To_HUB
 security acl 3000
 remote-address *.*.*.*
 ike-profile To_HUB
 sa duration time-based 3600
 sa duration traffic-based 1843200
#
ike profile To_HUB
 keychain To_HUB
 dpd interval 300 on-demand
 match remote identity address *.*.*.* 255.255.255.255
 proposal 65534
#
ike proposal 65534
 dh group2
 authentication-algorithm md5
#
ike keychain To_HUB
 pre-shared-key address *.*.*.* 255.255.255.255 key cipher $c$3$MvltOMNRgNf/m4Wc/HNhoofc1pC54LcQ1q0=
#

ASA5520配置:

crypto ipsec transform-set tso esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000

crypto dynamic-map center-sh 20 set transform-set tso
crypto dynamic-map center-sh 20 set security-association lifetime seconds 28800
crypto dynamic-map center-sh 20 set security-association lifetime kilobytes 4608000
crypto dynamic-map center-sh 20 set reverse-route
crypto map shanghai 20 ipsec-isakmp dynamic center-sh
crypto map shanghai interface outside
isakmp enable outside
isakmp policy 5 authentication pre-share
isakmp policy 5 encryption des
isakmp policy 5 hash md5
isakmp policy 5 group 2
isakmp policy 5 lifetime 86400
isakmp nat-traversal  60
tunnel-group DefaultRAGroup general-attributes
 authentication-server-group none
tunnel-group DefaultRAGroup ipsec-attributes
 pre-shared-key ****


暂无评论

1 个回答
粉丝:12人 关注:2人

您好,这个需要看下具体配置和组网,对端是什么设备? 能否发一下两个设备的关键配置。

配置完ipsec后 是否有流量出发ipsec?

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
标杆的神器激活
鼠年的运维 skr skr

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明