最佳答案
nat outbound需要把ipsec感兴趣流拒绝掉,新加一个acl
acl advanced 3000
rule 1 deny ip source 172.16.16.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 5 permit ip
然后接口下nat outbound改为
nat outbound 3000 counting description GuideNat
如果还不行的话看下debug:
<FW2>debugging ike all
<FW2>debugging ipsec all
<FW2>t m
<FW2>t d
(0)
好的我试下
# ike profile h3c-sangfor_IPv4_1 keychain h3c-sangfor_IPv4_1 dpd interval 30 on-demand exchange-mode aggressive local-identity user-fqdn h3cf1005 match remote identity user-fqdn 789 match local address Dialer0 proposal 1 # 这里 match local address Dialer0删掉
# ike keychain h3c-sangfor_IPv4_1 match local address Dialer0 pre-shared-key hostname 789 key cipher $c$3$v4CVxPp1cbbYaKcBA5jONWqwQNx1PMUiUQS4iw== 这里改为:pre-shared-key address 0.0.0.0 255.255.255.255 key simple 密码
这两个先改了
改 nat outbound会断网,需要插串口改
ike keychain h3c-sangfor_IPv4_1删除掉重新配置下,还是配置成pre-shared-key address 0.0.0.0 255.255.255.255 key simple 密码这样,然后两边reset ike sa ,reset ipsec sa再重新触发ping 下看能否协商起来
已经按照你的修好了重新ping了下对方还是没协商起来,唉
counting description GuideNat 大神,这个参数是做什么的
counting是统计, description GuideNat是描述信息,可以删掉,dpd那个,就是防止一边有ipsec sa,另一边没有这种情况的,需要两边设备都配置上,如果还是协商不起来,两边都reset ike sa,reset ipsec sa 后重新ping触发
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
counting是统计, description GuideNat是描述信息,可以删掉,dpd那个,就是防止一边有ipsec sa,另一边没有这种情况的,需要两边设备都配置上,如果还是协商不起来,两边都reset ike sa,reset ipsec sa 后重新ping触发