我正在尝试通过 IPSec VPN 将 Cisco IOS 路由器连接到 Azure。我已使用 Cisco ISR 模板从我的路由器建立到 Azure 的隧道。在 Azure 控制面板中,我可以看到连接已建立。但是,虽然“数据输出”似乎正在工作,但“数据输入”显示为零,我无法通过 SSH、RDP 或 nslookup 从我的本地网络或从本地网络向 Azure 进行双向通信。
由于隧道已建立,我确信问题出在我的路由器上。我并不是一名真正的网络专家(一家小型企业的唯一 IT 人员),因此任何帮助我都会很感激。
这是我的路由器的一些输出:
murasaki#sh 加密会话
加密会话当前状态
接口:虚拟访问2
会话状态:关闭
对等体:xxxx 端口 500
IPSEC 流:允许 ip 192.168.1.0/255.255.255.0 192.168.5.0/255.255.255.0
活动 SA:0,来源:加密地图
接口:拨号器 1
会话状态:UP-ACTIVE
对等体:xxxx 端口 500
IKE SA: 本地 xxxx/500 远程 xxxx/500 活动
IPSEC 流:允许 ip 192.168.1.0/255.255.255.0 192.168.5.0/255.255.255.0
活跃 SA:2,来源:加密地图
murasaki#sho crypto isakmp sa
IPv4 加密 ISAKMP SA
dst src 状态 conn-id 状态
xxxx xxxx QM_IDLE 2002 活动
IPv6 加密 ISAKMP SA
以下是删除/清除了敏感位的路由器配置:
! 版本 15.0 无服务台 服务时间戳调试日期时间毫秒 服务时间戳日志日期时间毫秒 ! 主机名 murasaki ! 开机启动标记 引导结束标记 ! ! aaa 新款 ! ! aaa 身份验证 ppp 默认本地 aaa 授权网络默认本地 ! ! ! ! ! aaa 会话 ID 通用 内存大小 iomem 10 ! 加密 pki 信任点 TP-自签名-4045734018 自签名注册 主题名称 cn=IOS-自签名证书-4045734018 吊销检查无 rsakeypair TP-自签名-4045734018 ip 源路由 ! ! 网际网络接入框架 ip 检查名称 normal_traffic tcp ip 检查名称 normal_traffic udp IPv6 单播路由 IPv6 头寸调整 ! ! ! 对象组网络 INTERNAL_LAN 描述 所有应允许访问互联网的内部子网 192.168.1.0 255.255.255.0 192.168.20.0 255.255.255.0 10.10.10.0 255.255.255.0 192.168.40.0 255.255.255.0 192.168.6.0 255.255.255.0 ! ! ! ip ssh 超时 60 ip ssh 版本 2 ! ! 加密 isakmp 策略 10 加密 aes 256 认证预共享 第 2 组 终生 28800 crypto isakmp 密钥地址 ! ! 加密 ipsec 变换集 AzureIPSec esp-aes 256 esp-sha-hmac ! 加密映射 AzureCryptoMap 10 ipsec-isakmp 设置对等体 设置安全关联生存期千字节数 102400000 设置转换集 AzureIPSec 匹配地址 AzureCloudVMs ! 桥梁 irb ! ! ! ! 接口 BRI0 没有 IP 地址 封装 hdlc 关闭 isdn 终端多点 ! 接口 ATM0 mtu 1492 没有 IP 地址 没有 atm ilmi-keepalive 聚氯乙烯 8/35 封装 aal5mux ppp 拨号器 拨号池成员 1 ! ! 接口 Vlan1 描述 主 LAN IP地址 192.168.1.97 255.255.255.0 ip nat 内部 ip 虚拟重组 ! 接口 Vlan5 描述 Azure VLAN IP地址 192.168.5.97 255.255.255.128 ! 接口拨号器1 mtu 1492 已协商 IP 地址 ip 访问组 PORTS_ALLOWED_IN IP 流量入口 ip nat 外部 ip 检查 normal_traffic 输出 ip 虚拟重组 封装ppp ip tcp 调整-mss 1350 拨号器池 1 拨号组 1 IPv6 地址自动配置 ipv6 启用 ppp ipcp 路由默认 不启用 CDP 加密映射 AzureCryptoMap ! 无 ip 转发协议 nd 没有 IP http 服务器 没有 ip http 安全服务器 ! ip nat 转换超时 360 ip nat 内部源列表 SUBNETS_AND_PROTOCOLS_ALLOWED_OUT 接口 Dialer1 过载 ip nat 内部源静态 tcp 192.168.xx 55663 接口 Dialer1 55663 ip nat 内部源静态 tcp 192.168.xx 22 接口拨号器 1 22 ip nat 内部源静态 udp 192.168.xx 55663 接口 Dialer1 55663 ! ip 访问列表扩展 AzureCloudVMs 允许 ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255 IP 访问列表扩展 GUEST_VLAN 允许 tcp 任何 eq 22 允许 tcp 任何 任何 eq www 允许 tcp 任何 eq 443 允许 tcp 任何 eq 域 允许 udp 任何 eq 域 允许任何 ICMP ip 访问列表扩展 PORTS_ALLOWED_IN 备注 允许进入的港口列表 允许 gre 任何任何 允许任何任何 允许 udp 任何 eq non500-isakmp 允许 udp 任何 eq isakmp 允许 tcp 任何任何 eq 55663 允许 udp 任何 eq 55663 允许 tcp 任何 eq 22 允许 tcp 任何 eq 222 允许 tcp 任何 eq 1723 允许 tcp 任何 eq 443 允许 icmp 任何 echo-reply 允许 icmp 任何 traceroute 允许 icmp 任何任何端口不可达 允许 icmp 任何任何超过时间 拒绝任何 IP ip 访问列表扩展 SUBNETS_AND_PROTOCOLS_ALLOWED_OUT 拒绝 tcp 对象组 INTERNAL_LAN 任何 eq smtp 允许 tcp 对象组 INTERNAL_LAN 任何 允许 UDP 对象组 INTERNAL_LAN 任何 允许 icmp 对象组 INTERNAL_LAN 任何 拒绝任何 IP ! 没有运行 CDP ipv6 路由 ::/0 拨号器1 !
答案1
事实证明我只需要从思科路由器中删除 VLAN 5 和 IP 地址!