设为首页收藏本站language→→ 语言切换

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

查看: 1035|回复: 6
收起左侧

[求助] IKE sa配置成功后对端设备如何知道内网网段走哪里

[复制链接]
发表于 2017-4-24 21:59:27 | 显示全部楼层 |阅读模式
10鸿鹄币
如图所示, QQ图片20170424215902.png 路由器A和BCD都形成IPSEC IKE隧道,10.1.X.0/24这个是内网网段,能互通,然后ABCD都通过公网地址连接,利用公网地址来作为10.1.X.0/24这个私网地址的隧道,我这里看了下配置,就拿A-B来说,建立隧道的remote-address 和local-address 都是公网地址,然后引用的ACL是内网网段,那么如果A要和B通信,如何知道我要访问的网段10.1.3.0/24(B的网段)是从B的这个公网地址走的?是否是因为IKE两个阶段都协商起来后,路由器就知道了?使用dis ipsec sa也可以看到,所以路由器知道这个网段是从这个公网走?请知道的告诉下,谢谢了

最佳答案

查看完整内容

你在设备上首先要配置ACL来定义两端的那些网段可以通过vpn tunnel来通信对吧,这个就是定义两端的可以通信的内网网段, 也就是interested traffic,
发表于 2017-4-24 21:59:28 | 显示全部楼层
你在设备上首先要配置ACL来定义两端的那些网段可以通过vpn tunnel来通信对吧,这个就是定义两端的可以通信的内网网段, 也就是interested traffic,
沙发 2017-4-24 21:59:28 回复 收起回复
回复

使用道具 举报

发表于 2017-4-24 22:05:04 | 显示全部楼层
IPSEC SA靠感兴趣流来匹配的
板凳 2017-4-24 22:05:04 回复 收起回复
回复

使用道具 举报

 楼主| 发表于 2017-4-24 22:12:54 | 显示全部楼层
liutong_2 发表于 2017-4-24 22:05
IPSEC SA靠感兴趣流来匹配的

什么意思,请问能说具体点吗
地板 2017-4-24 22:12:54 回复 收起回复
回复

使用道具 举报

发表于 2017-4-25 17:00:52 | 显示全部楼层
在配置的时候,每个policy里面都会有个acl配置 源地址 目的地址,在配置ipsec的时候会配置一个peer,就是对端了,你可能忘记了这一步,这个时候流量是通过公网走的;还有就是建立tunnel,在tunnel上跑静态路由或者动态路由,通过路由从tunnel隧道走
5# 2017-4-25 17:00:52 回复 收起回复
回复

使用道具 举报

发表于 2017-4-27 22:52:42 | 显示全部楼层
因为你需要把 map 挂在tu 口上。
6# 2017-4-27 22:52:42 回复 收起回复
回复

使用道具 举报

发表于 2017-5-4 16:34:43 | 显示全部楼层
这样要看如果是Route-base的VPN, 那么要定义目的地址路由指向vpn tunnel接口, 数据根据这个条目来转发。如果是Policy-Base的VPN, 要定义感兴趣数据流。既预先定义A到B的ACL, 在crypto map中进行调用。这样,一旦有流量触发此ACL, 那么该流量自然就会被“送”进VPN 隧道。 这里需要注意一点, 在NAT的时候,要deny掉这部分感兴趣数据流,防止此部分内网数据直接被NAT了。
7# 2017-5-4 16:34:43 回复 收起回复
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2024-3-29 16:06 , Processed in 0.073116 second(s), 14 queries , Redis On.  

  Powered by Discuz!

  © 2001-2024 HH010.COM

快速回复 返回顶部 返回列表