|
|---|
|
|
|
|
|
|
x*********n
发帖数: 28013 | 1 ---10.0.0.0-----R1-208.80.80.80---------------208.10.10.10--R2---10.1.1.0-
R1.
ACL set好了
crypto map vpnmap 3 ipsec-isakmp
description To_Roselle
set peer 208.10.10.10
set transform-set vpnset
match address ACL
然后
ip 0.0.0.0 0.0.0.0 208.80.80.79
R2
ACL
crypto map vpnmap 3 ipsec-isakmp
set peer 208.80.80.80
set transform-set vpnset
match address ACL
然后static是到firewall,所以我加了
ip 208.80.80.80 255.255.255.255 208.10.10.9让它能reach R1.
现在的问题就是这样不work,我还要加一个static
ip route 10.0.0.0 255.255.255.0 208.10.10.9才能work
不理解的地方是,
R2先match了ACL,然后apply到set peer,这peer也能ping通,为什么要加ip route 10
.0.0.0 255.255.255.0 去facing internet呢? | a***n
发帖数: 262 | 2 without ip route 10/24 to 208.10.10.9, where will the packet
w/ dst ip 10/24 go? You have to have the traffic go through
the interface where the crypt map applied, otherwise, how can
the crypto map even apply if not seeing the traffic?
【在 x*********n 的大作中提到】
: ---10.0.0.0-----R1-208.80.80.80---------------208.10.10.10--R2---10.1.1.0-
: R1.
: ACL set好了
: crypto map vpnmap 3 ipsec-isakmp
: description To_Roselle
: set peer 208.10.10.10
: set transform-set vpnset
: match address ACL
: 然后
: ip 0.0.0.0 0.0.0.0 208.80.80.79
| s*****g
发帖数: 1055 | 3 A simple reverse-route-injection will fix your problem.
【在 x*********n 的大作中提到】
: ---10.0.0.0-----R1-208.80.80.80---------------208.10.10.10--R2---10.1.1.0-
: R1.
: ACL set好了
: crypto map vpnmap 3 ipsec-isakmp
: description To_Roselle
: set peer 208.10.10.10
: set transform-set vpnset
: match address ACL
: 然后
: ip 0.0.0.0 0.0.0.0 208.80.80.79
| x*********n
发帖数: 28013 | 4 对,你说的对,这个我能理解,但是顺序我不太清楚。
比如是:
先找dst 10/24, 然后发现cryptomap, 然后找set peer,然后找routing table 去
peer。
还是:
先ACL找到traffic,这个ip access-list extended只是match traffic,然后crypto
map 找到traffic,set peer x。x。x。x,然后router 找自己的routing table,发现
x。x。x。x在table里,就可以hit对方的router了,不知道这样想为啥错了?
【在 a***n 的大作中提到】
: without ip route 10/24 to 208.10.10.9, where will the packet
: w/ dst ip 10/24 go? You have to have the traffic go through
: the interface where the crypt map applied, otherwise, how can
: the crypto map even apply if not seeing the traffic?
| a***n
发帖数: 262 | 5 If R1 will initiate the VPN connection, you can enable RRI
on R2, then you will not need static route when sending traffic
from R2 to network 10/24 behind R1.
If R2 will initiate the VPN connection, R2 will first look up
its routing table for dst IP in 10/24, if there is no specific
or default pointing to internet interface, traffic will just be
dropped. If there is routing information to the interface interface,
once the traffic hit the interface, then crpto map, match acl, set peer.
【在 x*********n 的大作中提到】
: 对,你说的对,这个我能理解,但是顺序我不太清楚。
: 比如是:
: 先找dst 10/24, 然后发现cryptomap, 然后找set peer,然后找routing table 去
: peer。
: 还是:
: 先ACL找到traffic,这个ip access-list extended只是match traffic,然后crypto
: map 找到traffic,set peer x。x。x。x,然后router 找自己的routing table,发现
: x。x。x。x在table里,就可以hit对方的router了,不知道这样想为啥错了?
| a***n
发帖数: 262 | 6 Some good info about OOO
http://etherealmind.com/cisco-ios-order-of-operation/
【在 x*********n 的大作中提到】
: 对,你说的对,这个我能理解,但是顺序我不太清楚。
: 比如是:
: 先找dst 10/24, 然后发现cryptomap, 然后找set peer,然后找routing table 去
: peer。
: 还是:
: 先ACL找到traffic,这个ip access-list extended只是match traffic,然后crypto
: map 找到traffic,set peer x。x。x。x,然后router 找自己的routing table,发现
: x。x。x。x在table里,就可以hit对方的router了,不知道这样想为啥错了?
|
|
|
|
|
|
|
|
