我已经在两个 Cisco ASA 5510 之间建立了站点到站点的 VPN 连接。一个站点(我们称之为 A)可以看到另一个站点(站点 B)的专用网络,但站点 B 看不到站点 A 的专用网络。
两个 ASA 的访问列表和路由相同。
在 ASA A 上,通过发出命令:显示运行加密图,得到以下结果:
crypto map outside_map 1 match address outside_cryptomap
crypto map outside_map 1 set peer IP_of_Outside_Interface_of_B
crypto map outside_map 1 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map outside_map 1 set ikev2 pre-shared-key ********
crypto map outside_map 1 set reverse-route
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
通过在 ASA B 上发出相同的命令,我得到:
crypto map Outside_map 1 match address Outside_cryptomap
crypto map Outside_map 1 set peer IP_of_Outside_Interface_of_A
crypto map Outside_map 1 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map Outside_map 1 set ikev2 pre-shared-key ********
crypto map Outside_map 1 set reverse-route
crypto map Outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map Outside_map interface Outside
此外,还发布显示加密 isakmp在 ASA A 上,我得到:
There are no IKEv1 SAs
IKEv2 SAs:
Session-id:7, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote Status Role
74335965 public_IP_of_ASA_A/500 public_IP_of_ASA_B/500 READY RESPONDER
Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/9974 sec
Child sa: local selector 172.16.0.0/0 - 172.16.255.255/65535
remote selector 10.0.20.0/0 - 10.0.20.255/65535
ESP spi in/out: 0xab18ad65/0x4ff34128
和 ASA B:
There are no IKEv1 SAs
IKEv2 SAs:
Session-id:7, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote Status Role
83370867 public_IP_of_ASA_B/500 public_IP_of_ASA_A/500 READY INITIATOR
Encr: AES-CBC, keysize: 256, Hash: SHA96, DH Grp:5, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/9499 sec
Child sa: local selector 10.0.20.0/0 - 10.0.20.255/65535
remote selector 172.16.0.0/0 - 172.16.255.255/65535
ESP spi in/out: 0x4ff34128/0xab18ad65
根据以上信息,我可以从 ASA A(角色响应者)的私有网络(172.16.0.0/24)访问 ASA B(角色发起者)的私有网络(10.0.20.0/24),但反之则不行。
sysopt 连接允许-vpn两个 ASA 上也都启用了该功能。
有什么想法可以解释为什么会发生这种情况吗?
答案1
有时简单的原因会遮住你的眼睛,就像在这种情况下,我正在寻找加密图、加密 isakmp、访问列表等,原因是我试图从其他站点访问的 ESXi 服务器没有正确的网关!!! 实际上,该 ESXi 服务器上的所有主机都有正确的网关,但虚拟机管理程序本身没有...我修复了它,它就像魔法一样工作了...
感谢您的所有评论和想法。