[Cisco Packet Tracer] 【新人求助】简单的IPsec VPN的配置问题~

YFlag · 发表于 2016-10-9 19:14:13

大家好，我在用PT做IPsec VPN的简单模拟实验的时候，碰到了问题，实在解决不了，特来此求助，恳请各位帮忙~~

登录/注册后可看大图

这个是我的拓扑图，我想做的就是在左边的网段192.168.1.0/24和右边的网段10.1.0.0/16之间搭建IPsec VPN隧道，就是最简单的那种。但是完成配置后，PC0死活ping不通PC1.
没有配置VPN隧道前，PC之间是可以相互ping通的，所以我认为不是路由的问题。配VPN之后，无法成功ping通，路由器之间可以，但用show crypto ipsec sa命令查看发现加密的包的数量为0，这到底是为什么呢。。。？
（我用了三个版本的PT做这个实验，5.3的连crypto isakmp policy 10命令都没有，6.1的7.0的都可以配置，但做完都是上面所说的情况）

以下是我的配置命令：
一.配置了IP
如上图所示

二.配置了路由
R0：ip route 0.0.0.0 0.0.0.0 101.1.1.2
R1：ip route 0.0.0.0 0.0.0.0 101.1.1.1

二.VPN
Router0：
Router0(config)#crypto isakmp policy 10
Router0(config-isakmp)#authentication pre-share
Router0(config-isakmp)#hash md5
Router0(config-isakmp)#group 2
Router0(config-isakmp)#crypto isakmp key aaa address 101.1.1.2
Router0(config)#crypto ipsec transform-set vpnSet ah-md5-hmac esp-des esp-md5-hmac
Router0(config)#crypto map vpnMap 10 ipsec-isakmp
Router0(config-crypto-map)#set peer 101.1.1.2
Router0(config-crypto-map)#set transform-set vpnSet
Router0(config-crypto-map)#match address 110
Router0(config-crypto-map)#exit
Router0(config)#ip access-list extended 110
Router0(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 10.1.0.0 0.0.255.255
Router0(config-ext-nacl)#exit
Router0(config)#int s0/0/0
Router0(config-if)#crypto map vpnMap

Router1:
Router1(config)#ip route 0.0.0.0 0.0.0.0 101.1.1.1
Router1(config)#crypto isakmp policy 10
Router1(config-isakmp)#authentication pre-share
Router1(config-isakmp)#hash md5
Router1(config-isakmp)#group 2
Router1(config-isakmp)#crypto isakmp key aaa address 101.1.1.1
Router1(config)#crypto ipsec transform-set vpnSet ah-md5-hmac esp-des esp-md5-hmac
Router1(config)#crypto map vpnMap 10 ipsec-isakmp
Router1(config-crypto-map)#set peer 101.1.1.1
Router1(config-crypto-map)#set transform-set vpn
Router1(config-crypto-map)#match address 110
Router1(config-crypto-map)#exit
Router1(config)#ip access-list extended 110
Router1(config-ext-nacl)#permit ip 10.1.0.0 0.0.255.255 192.168.1.0 0.0.0.255
Router1(config-ext-nacl)#exit
Router1(config)#int s0/0/0
Router1(config-if)#crypto map vpnMap

下面是配置文件：（R0）
Current configuration : 1120 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
no ip cef
no ipv6 cef
!
!
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
!
crypto isakmp key aaa address 101.1.1.2
!
!
!
crypto ipsec transform-set vpnSet ah-md5-hmac esp-des esp-md5-hmac
!
crypto map vpnMap 10 ipsec-isakmp
set peer 101.1.1.2
set transform-set vpnSet
match address 110
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
ip address 192.168.1.10 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Serial0/0/0
ip address 101.1.1.1 255.255.255.0
clock rate 2000000
crypto map vpnMap
!
interface Serial0/0/1
no ip address
clock rate 2000000
shutdown
!
interface Vlan1
no ip address
shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 101.1.1.2
!
ip flow-export version 9
!
!
access-list 110 permit ip 192.168.1.0 0.0.0.255 10.1.0.0 0.0.255.255
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
end

（为了简易起见，我没有配NAT和其他的东西。）

请叫我银桑 · 发表于 2016-10-9 19:14:14

Router1(config)#crypto ipsec transform-set vpnSet ah-md5-hmac esp-des esp-md5-hmac
Router1(config)#crypto map vpnMap 10 ipsec-isakmp
Router1(config-crypto-map)#set peer 101.1.1.1
Router1(config-crypto-map)#set transform-set vpn

IKE阶段2中对tramsformset的转换集的名字跟你写的不一致，vpn和vpnSet

Rockyw · 发表于 2016-10-9 21:29:14

换个模拟器试试

YFlag · 发表于 2016-10-10 12:11:16

请叫我银桑发表于 2016-10-10 10:01
Router1(config)#crypto ipsec transform-set vpnSet ah-md5-hmac esp-des esp-md5-hmac
Router1(config)# ...

非常感谢~！真的就是这个问题！我之前一直在想别的原因什么的，就从来没想过好好检查下命令，哎！

账号		自动登录	找回密码
密码			论坛注册

[求助] [Cisco Packet Tracer] 【新人求助】简单的IPsec VPN的配置问题~

最佳答案

客服中心

投诉建议