Cisco IPSec VPN:加密地图的多个地址范围?

Cisco IPSec VPN:加密地图的多个地址范围?

我正在使用 Cisco 路由器设置 IPSec VPN。配置的相关部分:

crypto map MYVPN 10 ipsec-isakmp 
 set peer 173.1.2.3
 set transform-set my-transform 
 set pfs group2
 match address 103

access-list 103 permit ip 84.9.208.128 0.0.0.63 192.168.77.0 0.0.0.255
access-list 103 permit ip 192.168.77.0 0.0.0.255 84.9.208.128 0.0.0.63
access-list 103 permit ip 84.9.206.104 0.0.0.7 192.168.77.0 0.0.0.255
access-list 103 permit ip 192.168.77.0 0.0.0.255 84.9.206.104 0.0.0.7

这允许流量往返于192.168.77.0/24对等体后面。但是,我还有另一个子网,192.168.122.0/24位于同一个对等体后面,我想允许其访问。因此,我不得不修改我的 ACL 以包括192.168.0.0/16

access-list 103 permit ip 84.9.208.128 0.0.0.63 192.168.0.0 0.0.255.255
access-list 103 permit ip 192.168.0.0 0.0.255.255 84.9.208.128 0.0.0.63
access-list 103 permit ip 84.9.206.104 0.0.0.7 192.168.0.0 0.0.255.255
access-list 103 permit ip 192.168.0.0 0.0.255.255 84.9.206.104 0.0.0.7

理想情况下,我不希望指定这么大的范围。有什么方法可以专门配置192.168.77.0/24192.168.122.0/24

答案1

要么我错过了什么,要么你只是以相同的方式将新网络作为 C 类添加到现有的 ACL 中,然后#clear cry ipsec& clear cry sa 来更新站点,它将添加新的加密域/网络...

访问列表 103 允许 ip 84.9.208.128 0.0.0.63 192.168.122.0 0.0.0.255 访问列表 103 允许 ip 192.168.122.0 0.0.0.255 84.9.208.128 0.0.0.63

相关内容