IPSEC中的ACL问题
一般配置ipsec ike的话,要配置以下步骤配置本端安全网关名字
配置访问控制列表
配置ike安全提议
配置ike对等体
配置ipsec安全提议
配置安全策略
在接口上应用安全策略组
然后访问控制列表是在配置安全策略那里调用的,这样就能匹配兴趣流,但是现在我这边看到的IPSEC ike,既没有配置ACL,也没有引用,但是居然建立起了ipsec邻居并且能正常使用(比如192.168.1.0/24和192.168.2.0/24通信,但是没有对应的ACL配置)
请问是为什么,难道还有什么其他的配置可以这样配置吗?请知道的告诉下,谢谢了
object network l2tp-vpn-address
subnet 172.30.100.0 255.255.255.192
exit
object network inside-1
subnet 10.1.0.0 255.255.0.0
exit
object network inside-2
subnet 10.2.0.0 255.255.0.0
exit
object network inside-12
subnet 10.12.0.0 255.255.0.0
exit
object-group network inside-vpn-group
network-object object inside-1
network-object object inside-2
network-object object inside-12
exit
nat (inside,ISP) source static inside-vpn-group inside-vpn-group destination static l2tp-vpn-address l2tp-vpn-address no-proxy-arp route-lookup
ip local pool l2tpvpnpool 172.30.100.1-172.30.100.63 mask 255.255.255.192
access-list split-l2tp-vpn extended permit ip object-group inside-vpn-group any
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
dns-server value 8.8.8.8
vpn-tunnel-protocol ikev1 l2tp-ipsec
default-domain value cisco.com
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split-l2tp-vpn
intercept-dhcp 255.255.255.255 enable
exit
tunnel-group DefaultRAGroup general-attributes
default-group-policy DefaultRAGroup
address-pool l2tpvpnpool
authentication-server-group LOCAL
exit
tunnel-group DefaultRAGroup ipsec-attributes
ikev1 pre-shared-key cisco@2017
exit
tunnel-group DefaultRAGroup ppp-attributes
no authentication pap
no authentication chap
authentication ms-chap-v2
authentication ms-chap-v1
exit
crypto isakmp nat-traversal 10
crypto ipsec ikev1 transform-set l2tp_vpn_set esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set l2tp_vpn_set mode transport
crypto dynamic-map l2tp_vpn_map 10 set ikev1 transform-set l2tp_vpn_set
crypto map mymap 60 ipsec-isakmp dynamic l2tp_vpn_map
crypto map mymap interface ISP
crypto ikev1 enable ISP
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
exit
/////////////////////////配置用户名,密码
username test password test@2017 mschap
这个里面的acl其实是安全配置,不配置自然没问题哈 我实际环境是配置的gre over ipsec vpn 李壑彝 发表于 2017-6-26 17:48
object network l2tp-vpn-address
subnet 172.30.100.0 255.255.255.192
exit
因为作为ipsec的两台设备,对端设备是配置了ACL的,但是本端这边我始终没有看到类似的配置,但是vpn又是可以使用的,所以很不解 将你这端的主要配置粘出来,让我们理解看看,正好也学习一下。 {:6_264:} {:6_264:} 531207502 发表于 2017-6-26 17:52
我实际环境是配置的gre over ipsec vpn
IPSEC over GRE Tunnel (配置样例)
https://learningnetwork.cisco.com/docs/DOC-2457
样例的加密模式为传输模式,不是隧道模式。注意理解!
本帖最后由 ♂布兜★ 于 2017-7-4 14:38 编辑
tunnel protection ipsec profile MyProfile
注意这条命令,大意就是加密所有隧道间的流量
gre隧道的对等体是明确的,tunnel destination命令指明了对等体,所以不需要在第二阶段set peer
加密的流量也是明确的,gre隧道中的数据都会封装上internet的IP报头,所以对于IPSec来说,加密的数据即两端internet地址间的流量,隧道命令里面指明了source和destination,所以不需要再配置感兴趣流。
同时通信点等于加密点,所以选择传输模式即可。
当然,你也可以选择不配置上面那条命令,而选择经典的IPsec VPN配置方式,然后在外网出接口调用crypto map。这种方法就需要配置peer和感兴趣流了,但是注意的是感兴趣流匹配的是两internet地址间的流量。
页:
[1]