请大神帮忙解决ipsec的问题

aslan · 发表于 2014-10-4 10:49:26

本帖最后由 aslan 于 2014-10-4 10:53 编辑

为什么实验完成还回口可以ping通但是debug说没有反应。怎样才能知道ipsec vpn建立成功

aslan · 发表于 2014-10-4 10:54:29

这是我这个实验的截图，debug cry，再ping时可以通，但就没有debug的信息，为什么没？

工作狗 · 发表于 2014-10-4 11:11:12

配置大概看了下应该没问题。
验证的话首先看阶段1和2起来没，第二看acl有没有命中，第三抓个包看看如果抓到icmp流量说明ipsec失败了走了普通的通道，抓到esp头部的包说明ping包被esp加密了就对了

962456310@qq.co · 发表于 2014-10-4 11:12:25

show cry eng conn a \\查看加解密情况，如果两边都有了，那证明VPN此时没问题了
show cry is sa
show cry ips sa
可以查看两个阶段的SA情况。
如果你用ping了，那你其实用第一条命令就可以了啊。

Rockyw · 发表于 2014-10-4 16:33:52

路过了解一下

aslan · 发表于 2014-10-4 22:27:25

962456310@qq.co 发表于 2014-10-4 11:12
show cry eng conn a \\查看加解密情况，如果两边都有了，那证明VPN此时没问题了
show cry is sa
show c ...

show cry is sa
show cry ips sa
这两条的sa都有起来，但就是debug没有反应。

aslan · 发表于 2014-10-4 22:30:25

工作狗发表于 2014-10-4 11:11
配置大概看了下应该没问题。
验证的话首先看阶段1和2起来没，第二看acl有没有命中，第三抓个包看看如果抓 ...

应该没有起来，debug都没有反应。按理说配置没错，debug应该会出现第一阶段的6个包状态和第二阶段的三个包状态才对呀

962456310@qq.co · 发表于 2014-10-5 01:12:04

你开了DEBUG之后，然后清除一下SA。

aslan · 发表于 2014-10-5 16:08:54

962456310@qq.co 发表于 2014-10-5 01:12
你开了DEBUG之后，然后清除一下SA。

有试过clear也没什么反应

962456310@qq.co · 发表于 2014-10-5 21:16:11

aslan 发表于 2014-10-5 16:08
有试过clear也没什么反应

你的DEBUG要一直打开着。然后清除所有SA之后。
清除之后SA就没了，然后你必须要触发VPN流量啊。
这样子DEBUG自然就出来了。

账号		自动登录	找回密码
密码			论坛注册