两个 Cisco 2921 的 IOS 15.2 之间的站点到站点 VPN

网络工程 虚拟专用网
2021-07-11 20:56:23

我有两个 Cisco 2921,它们使用静态加密映射运行站点到站点。一切似乎都很简单。很多人都这样做。我通常不会遇到这个问题。今天,VPN 刚刚决定它不想工作。我已经检查了两端的三重阶段 1 和阶段 2,我已经从头开始重建了两个路由器配置。我昨天跑步。什么?我觉得这只是奇怪的行为。

他们在第一阶段失败了。

其他人有这样的问题吗?

我会为后代发布我的配置:

Router-A
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key xyz address 50.xx.xx.xx   
crypto ipsec transform-set VPN_SET esp-3des esp-md5-hmac 
 mode tunnel
crypto map S2S_VPN 1 ipsec-isakmp 
 description S2S VPN to Home Motors
 set peer 50.xx.xx.xx
 set transform-set VPN_SET 
 set pfs group1
 match address VPN_ACL
ip access-list extended PRC_HM_VPN_ACL
 permit ip 10.x.x.0 0.0.0.255 10.x.x.0 0.0.0.255
 permit ip 10.x.x.0 0.0.0.255 10.x.x.0 0.0.0.255
 permit ip 10.x.x.0 0.0.0.255 10.x.x.0 0.0.0.255
 permit ip 10.x.x.0 0.0.0.255 10.x.x.0 0.0.0.255

Router-B
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key xyz address 206.xx.xx.xx
crypto ipsec transform-set S2S_SET esp-3des esp-md5-hmac
 mode tunnel
crypto map S2S_VPN 1 ipsec-isakmp
 description S2S VPN to Paso Robles Chevrolet
 set peer 206.xx.xx.xx
 set transform-set S2S_SET
 set pfs group1
 match address VPN_ACL
ip access-list extended VPN_ACL
 permit ip 10.x.x.0 0.0.0.255 10.x.x.0 0.0.0.255
 permit ip 10.x.x.0 0.0.0.255 10.x.x.0 0.0.0.255
 permit ip 10.x.x.0 0.0.0.255 10.x.x.0 0.0.0.255
 permit ip 10.x.x.0 0.0.0.255 10.x.x.0 0.0.0.255

以及应用于具有匹配 IP 的适当外部接口的加密映射

1个回答

我用替代配置对此进行了实验,并且我有 QM_IDLE。但是,路由器 A 的 ACL 名称不正确,它应该是加密映射 S2S_VPN 中引用的 VPN_ACL。除此之外,我不必更正任何配置。我还使我的加密映射 seq # 和策略 seq # 匹配,但这不是必需的。

这可能看起来很基本,但这两个路由器不仅在第 3 层而且在第 4 层(端口 500)都具有可达性。从路由器进行测试的一种方法是运行 traceroute 并计算距离它的跳数。现在,运行另一个不带参数的 traceroute,并在向导中输入正确的递减端口号值,以便最后一跳位于端口 500 上。如果响应,则端口打开,否则端口关闭。这可以帮助您解决传输(防火墙)问题。traceroutes 是 UDP,但这是有效的,因为 isakmp 是端口 500 UDP。

因为,这是一个令人困惑的,我想不出更好的表达方式,视觉:

WAN#traceroute 
Protocol [ip]: 
Target IP address: xxxxxx
Source address: xxxxxx
Numeric display [n]: 
Timeout in seconds [3]: 
Probe count [3]: 
Minimum Time to Live [1]: 
Maximum Time to Live [30]: 
Port Number [33434]: 497  <----------- If RouterB is 4 hops away the last hop will land on port 500, and you should receive a response if the port is open and you have connectivity.

HTH

编辑:在路由器 A 上,这是我正在谈论的两个值。

match address VPN_ACL
ip access-list extended PRC_HM_VPN_ACL
其它你可能感兴趣的问题
上一篇在两个位置/网关路由相同的子网? 下一篇iperf 的两个结果之间存在巨大差距