我正在使用 Cisco 路由器设置 IPSec VPN。配置的相关部分:
crypto map MYVPN 10 ipsec-isakmp
set peer 173.1.2.3
set transform-set my-transform
set pfs group2
match address 103
access-list 103 permit ip 84.9.208.128 0.0.0.63 192.168.77.0 0.0.0.255
access-list 103 permit ip 192.168.77.0 0.0.0.255 84.9.208.128 0.0.0.63
access-list 103 permit ip 84.9.206.104 0.0.0.7 192.168.77.0 0.0.0.255
access-list 103 permit ip 192.168.77.0 0.0.0.255 84.9.206.104 0.0.0.7
这允许流量往返于192.168.77.0/24对等体后面。但是,我还有另一个子网,192.168.122.0/24位于同一个对等体后面,我想允许其访问。因此,我不得不修改我的 ACL 以包括192.168.0.0/16:
access-list 103 permit ip 84.9.208.128 0.0.0.63 192.168.0.0 0.0.255.255
access-list 103 permit ip 192.168.0.0 0.0.255.255 84.9.208.128 0.0.0.63
access-list 103 permit ip 84.9.206.104 0.0.0.7 192.168.0.0 0.0.255.255
access-list 103 permit ip 192.168.0.0 0.0.255.255 84.9.206.104 0.0.0.7
理想情况下,我不希望指定这么大的范围。有什么方法可以专门配置192.168.77.0/24和192.168.122.0/24?
答案1
要么我错过了什么,要么你只是以相同的方式将新网络作为 C 类添加到现有的 ACL 中,然后#clear cry ipsec& clear cry sa 来更新站点,它将添加新的加密域/网络...
访问列表 103 允许 ip 84.9.208.128 0.0.0.63 192.168.122.0 0.0.0.255 访问列表 103 允许 ip 192.168.122.0 0.0.0.255 84.9.208.128 0.0.0.63