iou模拟器做ipsec over gre遇到的问题，无法建立第一阶段

昨日依旧

有没有牛人有思科路由器镜像版本15的实体机器。在模拟器中做ipsec over gre时遇到一个问题，求解答
我在gns 3 中按下面的配置是可以成功的，在web-iou中则不可以。现在不清楚是模拟器问题，还是版本问题。思科升级到15版本后命令变了还是不支持ipsec over gre 了。若能解决，非常感谢。
web-iou模拟器，镜像版本15.2：
R2#ping 172.16.2.3 so 172.16.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.2.3, timeout is 2 seconds:
Packet sent with a source address of 172.16.1.2
.....
Success rate is 0 percent (0/5)
R2#sh cry is sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
203.102.3.3     23.1.1.2        MM_NO_STATE          0 ACTIVE
不明白这个源地址怎么是tunnel口的地址，在gns3中，同样配置不是这样啊

GNS3模拟器，镜像版本12.4：
R2#sh cry is sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
202.102.3.2     203.102.3.3     QM_IDLE           1001 ACTIVE

我的配置文档如下：
R1
!
interface f1/0
ip address 202.102.3.1 255.255.255.0
no sh
!
interface f1/1
ip address 203.102.3.1 255.255.255.0
no sh
!
router ospf 10
network 202.102.3.0 0.0.0.255 area 0
network 203.102.3.0 0.0.0.255 area 0


R2
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp key cisco address 203.102.3.3   
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
!
!
crypto map mymap 10 ipsec-isakmp
set peer 203.102.3.3
set transform-set myset
match address 110
!
!
!         
!
!
interface Loopback0
ip address 172.16.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Tunnel0
ip address 23.1.1.2 255.255.255.0
tunnel source f1/0
tunnel destination 203.102.3.3
crypto map mymap
!
interface f1/0
ip address 202.102.3.2 255.255.255.0
no sh
!
!
router ospf 10
network 202.102.3.0 0.0.0.255 area 0
!
ip nat inside source list 1 interface f1/0 overload
ip route 0.0.0.0 0.0.0.0 202.102.3.1
ip route 172.16.2.0 255.255.255.0 Tunnel0
!
access-list 110 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
R3
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp key 6 cisco address 202.102.3.2   
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
!
!
crypto map mymap 10 ipsec-isakmp
set peer 202.102.3.2
set transform-set myset
match address 110
!
!
!         
!
!
interface Loopback0
ip address 172.16.2.3 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Tunnel0
ip address 23.1.1.3 255.255.255.0
tunnel source f1/0
tunnel destination 202.102.3.2
crypto map mymap
!
interface f1/0
ip address 203.102.3.3 255.255.255.0
no sh
!
router ospf 10
network 203.102.3.0 0.0.0.255 area 0
!
ip nat source list 1 interface f1/0 overload
ip route 0.0.0.0 0.0.0.0 203.102.3.1
ip route 172.16.1.0 255.255.255.0 Tunnel0
!
access-list 110 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255

图森破___Lee

给个picture 啊！

鸿爱乐鹄

  学习了！

昨日依旧

图森破___Lee 发表于 2013-3-21 09:04
给个picture 啊！

不好意思啊，忘记放拓扑图了，现在放上去了，在最后

昨日依旧

问题相对解决了，在ios的版本15.2下（15.0和12的版本不能改），只要把对端ip写成tunnel的ip就好了，crypto isakmp key 6 cisco address 202.102.3.2
set peer 202.102.3.2
ip改成23.1.1.2就会通过了。应该是版本问题，在这个版本上的tunnel口上挂map时会提示：
% NOTE: crypto map is configured on tunnel interface.
        Currently only GDOI crypto map is supported on tunnel interface.
貌似是思科升级新版本后有了tunnel protection，所以对旧的配置方式不怎么重视了，命令上就有了问题。这是我的理解，不知道对不对，如果有高人了解思科这个版本到底做了哪些改进，请帮助一下像我这样的菜鸟。。。。。谢谢了

昨日依旧

刚刚不死心，又在锐捷的机器上做了实验，发现和cisco15.2一样的问题，虽然知道锐捷是抄袭思科的，但不能连工作模式都抄吧
大致拓扑如下：
172.16.1.1-R1-12.1.1.1——12.1.1.2-R2-23.1.1.2——23.1.1.3-R3-172.16.3.3
对端地址为物理口地址时:
R1#sh cry is sa                  
destination       source            state                    conn-id           lifetime(second)
23.1.1.3          13.1.1.1          MM_SI1_WR1, MM_SA_SETUP  0                 86387            
R1#sh ver
System description      : Ruijie Router (RSR20-18) by Ruijie Networks
System start time       : 2013-03-22 7:22:26
System uptime           : 0:4:45:2
System hardware version : 1.11
System software version : RGOS 10.3(5b6), Release(131709)
System BOOT version     : 10.3.131709

对端地址改为tunnel口时：
R3#ping 172.16.1.1 sou 172.16.3.3
Sending 5, 100-byte ICMP Echoes to 172.16.1.1, timeout is 2 seconds:
  < press Ctrl+C to break >
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 30/30/30 ms
R3#sh cry is sa
destination       source            state                    conn-id           lifetime(second)
13.1.1.1          13.1.1.3          IKE_IDLE                 0                 86386            
R3#sh cry ip sa


Interface: Tunnel 0
         Crypto map tag:mymap
  local ipv4 addr 13.1.1.3
         media mtu 1476


         ==================================
         sub_map type:static, seqno:10, id=0
         local  ident (addr/mask/prot/port): (172.16.3.0/0.0.0.255/0/0))
         remote  ident (addr/mask/prot/port): (172.16.1.0/0.0.0.255/0/0))
         PERMIT
         #pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
         #pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4

zzljames

web-iou貌似不支持gre over ipsec vpn？tunnel接口起不来，求解！

古月椒

楼主，我最近也在做gre over ipsec实验，但是出了问题，代码跟你一样的，是在ospf那里出现问题的，学不到路由，我用的是gns3 0.8.6版本，不知道可不可以？？楼主方便请教一下吗

古月椒

昨日依旧 发表于 2013-3-22 12:20
刚刚不死心，又在锐捷的机器上做了实验，发现和cisco15.2一样的问题，虽然知道锐捷是抄袭思科的，但不能连 ...

你好，我想问一下，我也是用GNS3做的，配置按照你的做的，可是ospf出现了问题，我想问一下，你的GNS3的版本和所用IOS的型号是什么啊？麻烦你看到了，就回复我一下 啊，很急 额，谢谢