« Back
in 安全 VPN 思科 read.

VPN实验杂记一

感兴趣流量acl问题:

两端acl不匹配:比如一端acl是24位的,另外一端acl是32位的,只能32位一端能主动发起vpn;如果24位主动发起的,vpn是不能被建立的。

在建立IPSec过程中,两端会交换ACL来匹配,比如

A端 acl 32位 ----> B端 acl 24位     协商成功

B端 acl 24位 ----> A端 acl 32位     协商不成功

路由器上 isakmp默认是开启的,防火墙上 isakmp默认是关闭的。

 

VPN配置4大块:

路由问题

感兴趣流量

第一阶段策略

第二阶段转换集

 

出接口要挂map,入接口不一定需要挂map

lan2lan配置---路由器和路由器,路由器和pix

清除vpn配置的时候,先摘除map。

 

防火墙配置vpn时,要注意vpn和nat的重叠问题,vpn的优先级要比nat低;如果vpn中的流量 和 nat中的流量重叠,ipsec vpn就会出现不通的现象。

解决办法:1)vpn流量做no-nat,自己转换自己。 2)把vpn的流量,从nat流量里面剔除出来

 

TED (隧道自动探索协议)
 

点对多点的VPN(静态MAP 对应 动态MAP)

一定需要从spoke点发起协商

注意acl重叠的问题?

 

IPSec over GRE (IPSec流量在gre隧道里面)

GRE over IPSec (GRE流量被封装到IPSec里面)
 

ipsec 穿越 pat
 

nat-t

show crypto isakmp policy 查看第一阶段策略

show crypto isakmp key 查看预共享密钥

show crypto ipsec transform-set 查看ipsec传输集