ipsec vpn 野蛮模式,第一阶段IKE建立失败,大家帮分析一下原因?



拓扑
总部内网保护IP 10.10.10.1 /255.255.255.0
总部公网IP 192.168.1.1/255.255.255.0
分部内网保护IP 10.10.100.1/255.255.255.0
分部公网IP 192.168.1.254/255.255.255.0
路由已经可达。
配置如下:
总部路由器(MSR36-20 为V7设备)
版本:Version 7.1.064, Release 0707P19
配置ACL抓取本地内网地址访问分部地址的感兴趣流
#
acl advanced 3000
rule 0 permit ip source 10.10.10.0 0.0.0.255 destination10.10.100.0 0.0.0.255
配置IKE协商密钥,配置与分支之间协商采用的预共享密钥
#
ike keychain key123
pre-shared-key hostname fenbu key simple 123456
创建IKE属性信息,调用配置的ike keychain,配置为野蛮模式,设备本地IKEname为zongbu,并匹配对端配置的ike name。
#
ike profile pro123
keychain key123
exchange-mode aggressive
local-identity fqdn zongbu
match remote identity fqdn fenbu
创建ipsec安全提议加密方式采用des,验证方式采用md5
#
ipsec transform-set set123
esp encryption-algorithm des-cbc
esp authentication-algorithm md5
配置IPSEC 策略模版,ipsec V7和V5对接时,V7设备需要引用策略模版
#
ipsec policy-template tem123 1
transform-set set123
security acl 3000
ike-profile pro123
将IPSEC策略模版应用到IPSEC策略中
#
ipsec policy zongbu123 1 isakmp template tem123
在接口应用IPSEC策略
#
interface GigabitEthernet0/0
port link-mode route
combo enable copper
ip address 192.168.1.1 255.255.255.0
ipsec apply policy zongbu123
分部配置(MSR930为V5设备)
版本:Version 5.20, Release 2516P22
配置ACL抓取本地内网地址访问总部地址的感兴趣流
#
acl number 3000
rule 0 permit ip source 10.10.100.0 0.0.0.255 destination 10.10.10.0 0.0.0.255
首先配置ike peer,配置预共享密钥,并使用野蛮模式,本地ike name设置为fenbu
#
ike peer fenbu
exchange-mode aggressive
pre-shared-key simple 123456
id-type name
remote-name zongbu
remote-address 192.168.1.1
local-name fenbu
配置IPsec安全提议,并配置与总部设备一致的加密和验证算法
#
ipsec transform-set fenbu
encapsulation-mode tunnel
transform esp
esp authentication-algorithm md5
esp encryption-algorithm des
配置IPsec策略,调用配置的ACL感兴趣流和IPsec安全提议以及ike peer
#
ipsec policy fenbu 1 isakmp
security acl 3000
ike-peer fenbu
transform-set fenbu
#
interface GigabitEthernet0/0
port link-mode route
combo enable copper
ip address 192.168.1.254 255.255.255.0
ipsec policy fenbu
(0)
最佳答案
 
									
									ipsec policy fenbu 1 isakmp
security acl 3000
ike-peer fenbu
transform-set fenbu
这个可以添加一条
remote-address 192.168.1.1  试试
(0)
暂无评论
 
	 
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论