IPSec隧道搭建

01650
图片[1]-IPSec隧道搭建-Rain's Blog

此处省略了 MSR36-20_2的端口IP配置

MSR36-20_1

interface GigabitEthernet 0/1
ip address 100.0.0.2 24
quit
interface GigabitEthernet 0/0
ip address 192.168.1.1 24
quit
sysname R1
ip route-static 0.0.0.0 0 100.0.0.1
#建立acl规则
acl advanced 3000
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 
192.168.2.0 0.0.0.255
#建立共享密钥
ike keychain r3
pre-shared-key address 100.0.1.2 255.255.255.0 key simple 123
#建立ike模板
ike profile r3
keychain r3
local-identity address 100.0.0.2
match remote identity address 100.0.1.2 255.255.255.0
#设置ipsec保护方式
ipsec transform-set r3
esp encryption-algorithm 3des-cbc
esp authentication-algorithm md5
q
#设置ipsec触发规则、协商模式
#h3c为规则名,1为规则序号,isakmp为协商模式
ipsec policy h3c 1 isakmp
transform-set r3
security acl 3000
remote-address 100.0.1.2
ike-profile r3
qu
#设置ipesc端口绑定
interface GigabitEthernet 0/1
ipsec apply policy h3c
qu

MSR36-20_3

interface GigabitEthernet 0/0
ip address 100.0.1.2 24
interface GigabitEthernet 0/1
ip address 192.168.2.1 24
qu
ip route-static 0.0.0.0 0 100.0.1.1
rule 0 permit  ip source 192.168.2.0 0.0.0.255 destination
 192.168.1.0 0.0.0.255
ike keychain  r3
pre-shared-key address 100.0.0.2 255.255.255.0 key simple 12
3
q
ike profile r3
keychain r3
local-identity address 100.0.1.2
match remote identity address 100.0.0.2 255.255.255.0
ipsec transform-set r3
esp encryption-algorithm 3des-cbc
esp authentication-algorithm md5
ipsec policy h3c 1 isakmp
transform-set r3
security acl 3000
remote-address 100.0.0.2
ike-profile r3
interface GigabitEthernet 0/0
ipsec apply policy h3c
qu

查看各部分连接状态命令:

  • display ipsec statistics 查看IPSec链路状态
  • display ike statistics 查看ike协商状态

无法联通的排错帮助:

display ipsec statistics 时,首先查看No available SA 后是否不为0,如果为0,请使用客户机互相ping一次,如果仍为零,则为ACL规则有误或未在IPSec配置内启用感兴趣流。

如果 No available SA 不为0,则进一步输入 display ike statistics 查看返回信息,如果Retransmit timeout值不为0,请检查两端的ike profile参数是否对称。

如果一端Invalid ID information不为0,而另一端为0,请检查为0端的remote-address是否正确

© 版权声明
文章版权由CC-BY-NC-SA 4.0协议分发共享
THE END
网络设备
# 网络设备# IPSec
喜欢就支持一下吧
点赞0赞赏 分享
评论 抢沙发
头像
说点什么?
提交
头像

昵称

取消
昵称

请填写用户信息:

  • 昵称(必填)
  • 邮箱(必填)
表情
[alu-1][alu-2][alu-3][alu-4][alu-5][alu-6][alu-7][alu-8][alu-9][alu-10][alu-11][alu-12][alu-13][alu-14][alu-16][alu-17][alu-18][alu-19][alu-20][alu-21][alu-22][alu-23][alu-24][alu-25][alu-26][alu-27][alu-28][alu-29][alu-30][alu-31][alu-32][alu-33][alu-34][alu-35][alu-36][alu-37][alu-38][alu-39][alu-40][alu-41][alu-42][alu-43][alu-44][alu-45][alu-46][alu-47][alu-48][alu-49][alu-50][alu-51][alu-52][alu-53][alu-54][alu-55][alu-56][alu-57][alu-58][alu-59][alu-60][alu-61]
代码

请输入代码:

确认
图片

    暂无评论内容

最新评论
头像

luckiestone5天前0

是的,公网家宽VPS反代到本地,tr开白名单允许VPS的ip。IP用DDNS的域名就行了。这个问题很奇怪,懒得折腾了,我在本地另一个设备上开了个nginx,然后反代到局域网的NAS。感觉就是本地到VPS的反代机有问题,而且我换了几个VPS都是。
头像

luckiestone8天前0

我nginx是挂在其他的vps。我也觉得很奇怪,其他访问正常,不知道是不是本地isp的间歇性问题。感觉本地服务经过nginx输出有间歇性问题。出现问题的时候往往本地smokeping经过nginx后也很慢,plex的刮削服务什么的也连不上了。观察一段时间吧先。
头像

luckiestone9天前0

大佬有没有nginx配置模板分享下,我尝试了很多修改,老是偶尔无法访问
头像

admin3个月前0

是能 ping 通的, hosts 也是没问题的, 防火墙也都关了. 我试过用如下命令在单节点上起服务是成功的: [代码] minio1 和 minio2 都会报这个错. 好像是 minio1和 minio2 都没起来.
头像

admin3个月前0

[代码]
头像

HC_Plantern3个月前0

4.00 版本还增加了种子免校验的功能,PT 用户狂喜,就等官方 4.00 的正式版 docker 了
头像

Glenffi3个月前0

大佬,我使用的是docker版,并没有连接公网。貌似docker版的settings.json设置没有用,镜像会自动改掉?
头像

yumenai3个月前0

输入了touch .ts3server_license_accepted后弹出了“Please set the environment variable TS3SERVER_LICENSE to "accept" in order to accept the license agreement. Alternatively, create a file named ".ts3server_license_accepted" in the working directory or start the server with the command line parameter "license_accepted=1". To view the license agreement set TS3SERVER_LICENSE to "view" in order to print the license to the console. Alternatively view the file "LICENSE" in your favorite text viewer yourself.” 之后没办法获取token 如果用root用户启动服务器却可以获得token 但是服务器可以正常访问 然而不论是用teamspeak用户还是root用户尝试关闭或开启服务器都会显示“No server running (ts3server.pid is missing)”