问题描述:
用hcl模拟器配置ipsec主模式能通,野蛮模式怎么都不痛,搞了一天,望大神指点一下
组网及组网描述:
R1配置:
ipsec transform-set cq
esp encryption-algorithm des-cbc
esp authentication-algorithm md5
#ipsec policy cq 1 isakmp
transform-set cq
ike-profile cq
# ike identity fqdn bj
#ike profile cq keychain k1
exchange-mode aggressive
local-identity address 200.1.1.1
match remote identity fqdn cq
proposal 1
#ike proposal 1
#ike keychain k1
pre-shared-key hostname cq key cipher $c$3$CzKlN3Y6uBs/E7zjB99GyxY/P3 UYQ==
R3配置:
acl advanced 3000
rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#ipsec transform-set bj
esp encryption-algorithm des-cbc
esp authentication-algorithm md5
#ipsec policy bj 1 isakmp
transform-set bj
security acl 3000
remote-address 200.1.1.1
ike-profile bj
# ike identity fqdn cq
#ike profile bj keychain k1
exchange-mode aggressive
local-identity fqdn cq
match remote identity address 200.1.1.1 255.255.255.0 proposal 1
#ike proposal 1
#ike keychain k1 pre-shared-key address 200.1.1.1 255.255.255.255 key cipher
查看ike sa能看到对方地址,但是查看ipsec sa
就没有,这个是不是代表ipsec的隧道没建立起来?
![H6JQ(MO@{8F6633K6)PB1O9.png](https://zhiliao.h3c.com/uploads/q/20190609/15600484983852.png)
$c$3$q8yjbwBbGGgOXeHdOLfWxrES8GiWSQ==
r3触发,没有配nat
看下我的配置错了没
# 创建一个IKE协商方式的IPsec安全策略模板,名称为template1,顺序号为1。 ipsec policy-template template1 1 # 指定引用的安全提议为cq transform-set cq # 配置IPsec隧道的本端IP地址为200.1.1.1。 local-address 200.1.1.1。 # 指定引用的IKE profile为cq ike-profile cq quit # 引用IPsec安全策略模板创建一条IKE协商方式的IPsec安全策略,名称为policy1,顺序号为1。 ipsec policy policy1 1 isakmp template template1 # 在接口上应用安全策略policy1。 interface gigabitethernet 2/0/1 ipsec apply policy policy1 quit 改一下R1的配置
好的,谢谢
刚刚试了,就是这个问题,我想问下ip地址固定的一方为什么要用模板呢?我的理解是如果要配置多个ipsec策略才需要用到模板并绑定