设为首页收藏本站language→→ 语言切换

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

查看: 2114|回复: 2
收起左侧

[求助] ASA的默认class-map并不匹配ESPi流量为什么ipsec能通

[复制链接]
 成长值: 54295
发表于 2017-2-19 10:16:10 | 显示全部楼层 |阅读模式
1鸿鹄币
QQ截图20170219101158.jpg
R1与R2ipsec vpn
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny  
  inspect sunrpc
  inspect xdmcp
  inspect sip  
  inspect netbios
  inspect tftp
  inspect ip-options
inspect ipsec-pass-thru



ciscoasa(config)# class inspection_default
mpf-class-map mode commands/options:
  access-list                 Match an Access List
  any                         Match any packet
  default-inspection-traffic  Match default inspection traffic:
                              ctiqbe----tcp--2748      dns-------udp--53      
                              ftp-------tcp--21        gtp-------udp--2123,3386
                              h323-h225-tcp--1720      h323-ras--udp--1718-1719
                              http------tcp--80        icmp------icmp         
                              ils-------tcp--389       ip-options-----rsvp     
                              mgcp------udp--2427,2727 netbios---udp--137-138  
                              radius-acct----udp--1646 rpc-------udp--111      
                              rsh-------tcp--514       rtsp------tcp--554      
                              sip-------tcp--5060      sip-------udp--5060     
                              skinny----tcp--2000      smtp------tcp--25      
                              sqlnet----tcp--1521      tftp------udp--69      
                              waas------tcp--1-65535   xdmcp-----udp--177
默认的inspection_default并没有匹配ESP流量。为什么ipsec VPN还能通?
R1-inside#ping 2.2.2.2 source l0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 68/88/116 ms


R1-inside#show crypto ipsec sa

interface: Ethernet0/0
    Crypto map tag: l2l, local addr 201.100.1.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (1.1.1.1/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (2.2.2.2/255.255.255.255/0/0)
   current_peer 201.100.2.1 port 500
     PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}
    #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
    #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 1, #recv errors 0

     local crypto endpt.: 201.100.1.1, remote crypto endpt.: 201.100.2.1
     path mtu 1500, ip mtu 1500
     current outbound spi: 0xDD525960(3713161568)

     inbound esp sas:
      spi: 0x384862(3688546)
        transform: esp-des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2001, flow_id: SW:1, crypto map: l2l
        sa timing: remaining key lifetime (k/sec): (4515150/3583)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xDD525960(3713161568)
        transform: esp-des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2003, flow_id: SW:3, crypto map: l2l
        sa timing: remaining key lifetime (k/sec): (4515150/3581)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:



ciscoasa# show conn  
5 in use, 7 most used
ESP outside 201.100.2.1 inside201.100.1.1, idle 0:00:29, bytes 496
UDP outside 201.100.2.1:500 inside 201.100.1.1:500, idle 0:00:29, bytes 1348, flags -
ESP outside 201.100.2.1 inside201.100.1.1, idle 0:00:29, bytes 496

默认的inspection_default并没有匹配ESP流量。为什么ipsec VPN还能通?


ciscoasa# show access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300






最佳答案

查看完整内容

ipsec-pass-thru就是ESP好吧,有教主的图,没有其它资料,还是没好好看?
发表于 2017-2-19 10:16:11 | 显示全部楼层
ipsec-pass-thru就是ESP好吧,有教主的图,没有其它资料,还是没好好看?
沙发 2017-2-19 10:16:11 回复 收起回复
回复

使用道具 举报

 成长值: 54295
 楼主| 发表于 2017-3-7 18:11:15 | 显示全部楼层
psec-pass-thru是ESP没有错。但是默认的default-inspection-traffic 并没有匹配这股流量。
板凳 2017-3-7 18:11:15 回复 收起回复
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2024-12-23 04:19 , Processed in 0.064713 second(s), 13 queries , Redis On.  

  Powered by Discuz!

  © 2001-2024 HH010.COM

快速回复 返回顶部 返回列表