我正在尝试使用一侧具有动态 WAN IP(LAN 192.168.101.0/24)的 Cisco 1841 和另一侧具有静态 WAN IP(LAN 192.168.100.0/24)的 Cisco ASA 5505 建立站点到站点 VPN。
Cisco 1841 无法建立隧道:
c1841#debug crypto engine
Crypto Engine debugging is on
c1841#debug crypto isakmp
Crypto ISAKMP debugging is on
c1841#debug crypto IPSec
Crypto IPSEC debugging is on
c1841#ping 192.168.100.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.100.1, timeout is 2 seconds:
*Oct 3 19:40:18.239: IPSEC(sa_initiate): Kicking the dialer interface.
*Oct 3 19:40:20.239: IPSEC(sa_initiate): Kicking the dialer interface
*Oct 3 19:40:20.419: %LINK-3-UPDOWN: Interface Cellular0/0/0, changed state to up
*Oct 3 19:40:21.199: IPSEC(recalculate_mtu): reset sadb_root 64F85A74 mtu to 1500.
*Oct 3 19:40:21.419: %LINEPROTO-5-UPDOWN: Line protocol on Interface Cellular0/0/0, changed state to up...
Success rate is 0 percent (0/5)
就这样。ASA 5505 没有任何调试内容。
我该如何修复/诊断这个问题?请帮忙。
答案1
假设您的加密 ACL 中有一行,匹配 192.168.100.0/24 和 192.168.101.0/24 之间的流量。
因此,当您简单地执行ping 192.168.100.1此操作时,将会生成以路由器的 WAN 地址作为源 IP 地址的 ICMP 数据包,因此这些 ICMP 数据包与加密 ACL 不匹配,所以不会启动隧道是正常的。
因此,为了建立隧道,您需要从 LAN(即从具有 192.168.101.x 地址的设备)执行 ping 操作,或者从路由器执行扩展 ping 操作,例如
ping 192.168.100.1 source 192.168.101.1
192.168.101.1路由器 LAN 接口的 IP 地址在哪里,或者
ping 192.168.100.1 source FastEthernet0/1
FastEthernet0/1你的 LAN 接口在哪里。
请注意,您还可以配置 IP SLA为了保持隧道畅通,并且在该配置中您还必须添加source-ip 或source-interface参数。
答案2
问题是 1841 上的 NAT 规则在 ACL 之前处理了数据包。感谢大家的提示。