我有以下配置,
R1:
crypto keyring KR
pre-shared-key address 1.1.1.2 key cisco
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp profile PROFILE
keyring KR
match identity address 1.1.1.2 255.255.255.255
!
!
crypto ipsec transform-set TRANSFORM_SET esp-3des esp-sha-hmac
!
crypto map MAP 10 ipsec-isakmp
set peer 1.1.1.2
set transform-set TRANSFORM_SET
set isakmp-profile PROFILE
match address IPSEC_ACL
!
ip access-list extended IPSEC_ACL
permit ip host 1.1.1.1 host 1.1.1.2
!
int e0/0
ip address 1.1.1.1 255.255.255.0
crypto map MAP
和 R2:
crypto keyring KR
pre-shared-key address 1.1.1.1 key cisco
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp profile PROFILE
keyring KR
match identity address 1.1.1.1 255.255.255.255
!
!
crypto ipsec transform-set TRANSFORM_SET esp-3des esp-sha-hmac
!
crypto map MAP 10 ipsec-isakmp
set peer 1.1.1.1
set transform-set TRANSFORM_SET
set isakmp-profile PROFILE
match address IPSEC_ACL
!
ip access-list extended IPSEC_ACL
permit ip host 1.1.1.2 host 1.1.1.1
!
int e0/0
ip address 1.1.1.2 255.255.255.0
crypto map MAP
IPSEC 隧道无法建立,不知道为什么?
答案1
匹配地址 ACL 应该是通过链接的 IP 范围,而不是加密映射所在的 IP。
例如,如果 IP 范围 192.168.1.0/24 在 R1 上,而 192.168.2.0/24 在 R2 上,并且 192.168.1.0/24 上的主机想要通过隧道与 192.168.2.0/24 通信,则您需要将 ACL 设置为以下内容。
R1
ip access-list extended IPSEC_ACL
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
R2
ip access-list extended IPSEC_ACL
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
当流量从 192.168.1.0/24 到 192.168.2.0/24 或从 192.168.2.0/24 到 192.168.1.0/24 时,路由器将尝试建立隧道
您可以尝试以下操作来查看调试输出,以了解隧道在何处失败
debug crypto isakmp
debug crypto ipsec
禁用调试使用
undebug all
或者
no debug all
如果你没有看到任何调试输出,你可能需要启用终端监视器
terminal monitor