本端er3260G2对接对端F1000系列防火墙做ipsec
现场ipsec已经成功建立,但是两端私网互ping不通。检查er本端配置,无问题,路由也配置了,查看安全联盟发现隧道已经成功建立了,数据流和配置的感兴趣流也是匹配的
ipsec隧道已经建立但是ping不通私网的问题,有可能和两端感兴趣流配置不是镜像流或nat配置中没有deny掉ipsec的感兴趣流,按照此思路排查,两端的感兴趣流配置无问题,再查看两端是否有配置nat,看到对端防火墙启用ipsec的接口下还配置了nat outbound,但是没有把ipsec的感兴趣流给拒绝
# interface GigabitEthernet1/0/6
port link-mode route
ip address 180.167.238.118 255.255.255.252
nat outbound 2000
ipsec apply policy GE1/0/6
#
acl basic 2000
rule 5 permit
在防火墙的nat的acl中最前面写一条rule,将ipsec的感兴趣流deny掉,后面再匹配其他流量走nat
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作