gre over ipsec VPN 求高手解答问题

yin6422690 · 发表于 2012-8-14 09:55:28

R1
ike local-name center
ike peer branch
exchange-mode aggressive
pre-shared-key simple 97lab
id-type name
remote-name branch
quit
ipsec propsal yy
quit
ipsec policy-template tt 10
ike-peer branch
propsal yy
quit
ipsec policy h3c 10 isakmp template tt
acl number 2000
rule permit sou any
quit
interface loopback 0
ip address 10.1.1.1 32
interface loopback 1
ip address 10.1.2.1 32
quit
ip route-static 0.0.0.0 0.0.0.0 15.1.1.2
ip route-static 10.2.1.1 255.255.255.255 15.1.1.2
int tunnel 12
ip address 10.1.12.1 255.255.255.0
source loopback 1
destination 10.2.1.1
keepalive
quit
interface g0/1/2
nat outbound 2000
ip add 15.1.1.1 24
ipsec police h3c
quit
ospf 1
area 0.0.0.0
network 10.0.0.0 0.255.255.255

R5
dhcp enable
dhcp server ip-pool 52
network 25.1.1.0 mask 255.255.255.0
gateway-list 25.1.1.1
int loopback 1
ip address 5.5.5.5 32
int g0/1/1
ip add 25.1.1.1 24

R2
ike local-name branch
ike peer center
exchange-mode aggressive
pre-shared-key simple 97lab
id-type name
remote-name center
remote-address 15.1.1.1
quit
ipsec propsal yy
quit
ipsec policy h3c 10 isakmp
security acl 3021
ike-peer center
propsal yy
quit
acl number 3021
rule permit ip sou 10.2.1.1 0 des 10.1.2.1 0
rule deny ip
quit
acl number 2000
rule permit sou any
quit
interface loopback 0
ip address 10.2.2.2 32
interface loopback 1
ip address 10.2.1.1 32
quit
ip route-static 0.0.0.0 0.0.0.0 15.1.1.2
ip route-static 10.1.2.1 255.255.255.255 25.1.1.1
int tunnel 12
ip address 10.1.12.2 255.255.255.0
source loopback 1
destination 10.1.2.1
keepalive
quit
interface g0/1/2
nat outbound 2000
ip add dhcp-alloc
ipsec police h3c
quit
ospf 1
area 0.0.0.0
network 10.0.0.0 0.255.255.255

weicisco · 发表于 2012-8-20 01:30:24

LZ跑GRE的时候使用loop接口作为tunnel口的源地址，并且在OSPF中导入了loop路由，这样会导致OSPF震荡。使用物理口IP作为gre tunnel 源地址或者在OSPF中取消loop路由应该就可以解决问题了。

a121367982 · 发表于 2012-9-4 11:05:06

同意楼上的解释。。。。

dongflong1 · 发表于 2012-9-6 11:29:36

顶翻了，看一下，是啥呢

wangpeng1980520 · 发表于 2012-10-20 11:31:44

teclly · 发表于 2013-3-18 09:35:01

只引入tunnel口的地址就可以了

chengdn的小屋 · 发表于 2013-4-15 17:19:19

psec policy h3c 10 isakmp
security acl 3021
ike-peer center
propsal yy
quit
acl number 3021
rule permit ip sou 10.2.1.1 0 des 10.1.2.1 0
rule deny ip
quit

相信你在定义acl的时候是想把gre流量分出来，个人建议把R1和R3的都定义下试试，另外给点小忠告：定义acl的时候，别定义deny语句！在某些情况下有时会出问题。

sinai0599 · 发表于 2013-7-11 23:49:35

weicisco 发表于 2012-8-20 01:30
LZ跑GRE的时候使用loop接口作为tunnel口的源地址，并且在OSPF中导入了loop路由，这样会导致OSPF震荡。使用物 ...

就这个意思，，你导入tunnel 到OSPF 会导致路由器递归递归在递归~！

yagang1 · 发表于 2015-4-20 23:47:44

大神，能给我具体分析一下这个现象产生的原因吗？？？谢谢啦

yagang1 · 发表于 2015-4-20 23:49:05

大神，能给我具体解释一下环路产生的过程吗？？？急

yagang1 · 发表于 2015-4-20 23:50:22

weicisco 发表于 2012-8-20 01:30
LZ跑GRE的时候使用loop接口作为tunnel口的源地址，并且在OSPF中导入了loop路由，这样会导致OSPF震荡。使用 ...

大神，给我具体分析一下环路产生的原因吧，不明白

账号		自动登录	找回密码
密码			论坛注册

[求助] gre over ipsec VPN 求高手解答问题

客服中心

投诉建议