抱歉..我是 Cisco IOS 的新手,所以如果我需要提供更多信息,请告诉我。
在 Cisco 5510 上使用 IOS 9.1(6)、ASDM 7.10(1),连接到 Azure VNET。(是的,UsePolicyBasedTrafficSelectors 设置为 true)
我正在创建一个从我们(具有单个网络范围)到具有多个网络范围的另一个站点的 VPN。但是,VPN 似乎只出现在一个范围内。其余的都收到“未找到加密映射策略”错误。
这是我定义的访问列表(嗯..它是在我于 ASDM 中创建 VPN 条目时自动定义的):
ciscoasa(config)# show access-list AT&T_cryptomap
access-list AT&T_cryptomap; 5 elements; name hash: 0x395898
access-list AT&T_cryptomap line 1 extended permit ip 172.16.1.0 255.255.255.240 object-group DM_INLINE_NETWORK_2 (hitcnt=2) 0xaeb5bef0
access-list AT&T_cryptomap line 1 extended permit ip 172.16.1.0 255.255.255.240 10.3.0.0 255.255.255.0 (hitcnt=2) 0x41216cae
access-list AT&T_cryptomap line 1 extended permit ip 172.16.1.0 255.255.255.240 10.3.1.0 255.255.255.224 (hitcnt=4) 0xee40b1de
access-list AT&T_cryptomap line 1 extended permit ip 172.16.1.0 255.255.255.240 10.3.2.0 255.255.255.0 (hitcnt=4) 0xbdd4449d
access-list AT&T_cryptomap line 1 extended permit ip 172.16.1.0 255.255.255.240 10.3.224.0 255.255.255.0 (hitcnt=4) 0xa8646d01
access-list AT&T_cryptomap line 1 extended permit ip 172.16.1.0 255.255.255.240 10.3.254.0 255.255.254.0 (hitcnt=4) 0xbf2c68a9
隧道在列表中的最后一个 (10.3.254.0) 上出现,但其余所有隧道都出现错误。示例如下:
Crypto Map Policy not found for remote traffic selector 10.3.2.0/10.3.2.0/0/65535/0 local traffic selector 172.16.1.0/172.16.1.15/0/65535/0!
我还应该注意,如果我修改 ACL 以仅包含任何一条(但只能包含一条)路由,VPN 就会在该路由上启动。因此,所有路由似乎都不错,但我一次只能获取其中一条。
更新:看起来,当我使用设置的范围时,第一个导致隧道构建的 SA 会成功。从那一刻起,所有子 SA 都会失败,无论谁尝试启动它。
我确实注意到了一件事……当子 SA 请求从 Azure 发出时,IP 范围不是范围。它们只是范围中的第一个 IP。
(27): 3c 6f b0 28 6d 24 1d 3e 5d f1 4b eb 94 ad 2f f7
(27): 15 b5 0c a8 d6 eb fe 0c 2a 31 f2 10 43 58 50 66
(27): ea 54 73 8e 20 0f bd e3 8f 5d 41 e1 63 a3 c5 ec
(27): TSi(27): Next payload: TSr, reserved: 0x0, length: 24
(27): Num of TSs: 1, reserved 0x0, reserved 0x0
(27): TS type: TS_IPV4_ADDR_RANGE, proto id: 0, length: 16
(27): start port: 0, end port: 65535
(27): start addr: 10.3.0.0, end addr: 10.3.0.0
(27): TSr(27): Next payload: NONE, reserved: 0x0, length: 24
(27): Num of TSs: 1, reserved 0x0, reserved 0x0
(27): TS type: TS_IPV4_ADDR_RANGE, proto id: 0, length: 16
(27): start port: 0, end port: 65535
(27): start addr: 172.16.1.0, end addr: 172.16.1.15
10.3.0.0 是 10.3.0.0/24 范围的一部分。
此外,当思科设备由于我方的连接请求而尝试启动子 SA 时,子 SA 包含 2 个 TS(顺便说一句,不确定这意味着什么),一个用于我尝试访问的单个 IP,另一个用于正确的 IP 范围。
(22): a9 0d f0 fd 71 a5 a9 02 b8 67 9e 91 b5 45 c6 b4
(22): 56 19 a5 0a c1 65 13 8e 3c 2c fb 75 9d 7a f3 9b
(22): 3e 7a 8b 16 58 18 6c 08 e3 7d 27 01 0d 2a f5 a6
(22): a0 f5 d9 52 f5 8a 60 d4 1b ad f3 bf 85 cb a4 a8
(22): 20 5b eb 81 83 eb 95 28 4d b9 6f 7a 04 f4 e5 67
(22): ba 23 a3 21 e2 3e 44 2f 62 b8 93 4d 39 93 4f e2
(22): a3 f8 02 38 58 04 d4 3b ec 7e fb 4a d0 af 61 3c
(22): c3 97 c8 82 fb 04 7e 4f 0c 8e 2a bb 20 1e 9e 9e
(22): ab 52 2c 17 84 23 08 cf 06 44 54 39 65 02 cc 2d
(22): 80 71 9b 16 d4 51 4c 0e d2 d3 82 9a de 9b 81 46
(22): c2 2b 49 54 fb 4d b5 be 9d c1 f6 46 39 e1 3a 0b
(22): 90 d0 fe e9 0d e7 39 a6 1c b9 d0 97 24 20 c2 87
(22): TSi(22): Next payload: TSr, reserved: 0x0, length: 40
(22): Num of TSs: 2, reserved 0x0, reserved 0x0
(22): TS type: TS_IPV4_ADDR_RANGE, proto id: 0, length: 16
(22): start port: 0, end port: 65535
(22): start addr: 172.16.1.1, end addr: 172.16.1.1
(22): TS type: TS_IPV4_ADDR_RANGE, proto id: 0, length: 16
(22): start port: 0, end port: 65535
(22): start addr: 172.16.1.0, end addr: 172.16.1.15
(22): TSr(22): Next payload: NONE, reserved: 0x0, length: 40
(22): Num of TSs: 2, reserved 0x0, reserved 0x0
(22): TS type: TS_IPV4_ADDR_RANGE, proto id: 0, length: 16
(22): start port: 0, end port: 65535
(22): start addr: 10.3.2.20, end addr: 10.3.2.20
(22): TS type: TS_IPV4_ADDR_RANGE, proto id: 0, length: 16
(22): start port: 0, end port: 65535
(22): start addr: 10.3.2.0, end addr: 10.3.2.255
10.3.2.20 是我尝试访问的 IP,它导致 Cisco 尝试建立子隧道。
我是否误解了这一切应该如何运作?
我错过了什么?
答案1
似乎是 IOS 9.1(6) 出了问题。升级到 9.8(2) 似乎已经解决了这个问题。