105和一台防火墙之间建立IPSec VPN
IKE SA和IPSec SA均已协商成功,但是业务不通。
1、检查两边SA中的感兴趣流,发现是对称的。
2、检查对端防火墙策略,是放通的,并且会话显示是105侧没有回包。
3、在105上debugging ipsec packet,发现105侧只有inbound esp,没有outbound esp。
4、经确认,交换机做IPSec,设备通过ACL来识别由IPsec隧道保护的流量时,受保护的流量只能是源地址或目的地址为本机的报文。ACL中定义的匹配转发流量的规则不生效,IPsec不会对设备转发的任何数据流和语音流进行保护。
交换机上IPsec不能封装转发流量,原因是交换机会通过硬件直接转发,报文不上CPU。IPsec业务必须在CPU处理。
并且使用GRE over IPSec也是不可以的,因为GRE走的也是硬件转发,不会上CPU处理。