IPSec 穿越问题

最新推荐文章于 2024-05-03 14:15:39 发布
最新推荐文章于 2024-05-03 14:15:39 发布
阅读量444 收藏 1
点赞数
分类专栏: 安全设备 文章标签: java python 数据库 hadoop 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012391293/article/details/116982819
版权

一、穿越防火墙

v2-055f62015dbd6f167c148f86c0d0fc1d_b.jpg
  • Site2#ping 1.1.1.1 source 2.2.2.2
  • Type escape sequence to abort.
  • Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:
  • Packet sent with a source address of 2.2.2.2
  • .....
  • Success rate is 0 percent (0/5)
  • Site2#sh crypto isakmp sa de
  • IPv4 Crypto ISAKMP SA
  • dst src state conn-id status
  • 202.100.1.1 202.100.2.1 QM_IDLE 1001 ACTIVE
  • IPv6 Crypto ISAKMP SA
  • Site2#sh crypto engine connections active
  • Crypto Engine Connections
  • ID Type Algorithm Encrypt Decrypt LastSeqN IP-Address
  • 1 IPsec DES+MD5 0 0 0 202.100.2.1
  • 2 IPsec DES+MD5 9 0 0 202.100.2.1
  • 1001 IKE SHA+DES 0 0 0 202.100.2.1


v2-e1a4b237f0e8c5f83e04b7f7e0fa5c5d_b.jpg


解决方法:

  • access-list out extended permit udp host 202.100.1.1 eq isakmp host 202.100.2.1
  • 允许从外发发起ipsec 连接
  • access-list out extended permit esp host 202.100.1.1 host 202.100.2.1
  • 放行esp流量
  • access-group out in interface Outside


  • 中间设备需要放行流量
  • 1.加密点之间的ISAKMP流量(UPD500)
  • 2.加密点之间的ESP或者AH流量

二、IPSec流量放行问题

v2-96b18be23ceb83a550433d4d38887c07_b.jpg


IOS12.3之后 对与VPN 解密后的明文流量由 crypto map acl 来控制

  • access-list 110 permit tcp host 1.1.1.1 host 2.2.2.2 eq telnet
  • crypto map cisco 10 ipsec-isakmp
  • set ip access-group 110 in

并且使用 crypto map acl 后 需重新建立ipsec SA 才能生效

删除 crypto map acl 不需要重新建立ipsec SA

  • Inside#telnet 2.2.2.2
  • Trying 2.2.2.2 ... Open
  • Password required, but none set
  • [Connection to 2.2.2.2 closed by foreign host]
  • Inside#ping 2.2.2.2
  • Type escape sequence to abort.
  • Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
  • .....
  • Success rate is 0 percent (0/5)


三、NAT-T穿越的问题

v2-2bb29358ce1dc1a7e830dcb700c166f4_b.jpg

v2-cc92b02e423dd6a68c86db2e5339336d_b.jpg


  • 故障排除:
  • show run | s crypto //查看VPN所有配置
  • show ip access
  • show crypto isakmpsa//查看第一阶段sa
  • show cryptoipsecsa//查看第二阶段sa
  • clear crypto sa//清除邻居关系
  • clear crypto isakamp//清除邻居关系
  • debug crypto isakmp //查看第一阶段令居建立过程
  • debug crypto ipsec// 查看第一阶段令居建立过程
期待未来的男孩
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IPSec穿越NAT报文
04-16
IPSec报文穿越NAT的报文。
IPsec nat穿越技术
12-06
IPsec nat穿越技术,学习研究提升自己的能力
Type escape sequence to abort
weixin_33875564的博客
07-02 3618
关于CISCO网络设备如何“Type escape sequence to abort.” 在使用cisco设备进行PING和traceroute 时,经常会有ping不通或traceroute不能到达目的地的情况。如下: 1、 Router#ping 10.0.0.2 Type escape sequence to abort.Sending 5, 100-b...
代理ARP产生路由环路问题分析
weixin_39997345的博客
06-29 1006
ARP的工作机制: 当一台设备需要发现另一台设备的MAC地址时,它将发送一个ARP Request数据包。这个Request数据包中包括:发送者的IP地址、发送者的MAC地址,目标的IP地址、目标全0的MAC地址(00:00:00:00:00:00),并以广播(ff.ff.ff.ff.ff.ff)的方式发送出去。 广播地址意味着数据链路上的所有设备都将收到该帧,并且要检查数据帧内封装的数据包。除了目标机可以识别该数据包外,其他设备都会丢弃该数据包。目标机将向源地址发送ARP Reply数据包,并提...
思科防火墙查如何查看现有ipsec隧道信息
最新发布
玩人工智能的辣条哥的博客
05-03 433
思科ASA5555。
cisco的Type escape sequence to abort.
weixin_34334744的博客
08-05 1242
Type做动词用意为输入, escapesequence是转义序列的意思, 转义序列-------->就是多个转义字符, 转义字符-------->的意思就是当你按下某些键时会触发特定的命令。整句话的意思就是------->输入转义序列以终止-------->实际上这个序列是Shift+Ctrl+6 转载于:http...
CCNA动态路由实验
1315963786的博客
07-01 968
要求:1.全网可达。 2.R4的环回不能被宣告。 3.R2 R3 R5 各有两个环回,且做被动接口。 4.加快收敛速度。 合理规划: 1.对所有路由器的IP进行配置并且让所有直连路由器相互ping通。 对R1进行配置: Router>en Router#conf Configuring from terminal, memory, or network [terminal]? Enter...
影响IPSec的网络问题
weixin_30735391的博客
12-13 614
影响IPSec VPN的网络问题:①、动态地址问题:两个 站点之间IPSec VPN的条件是站点之间有固定的IP地址,假如说分支站点采用ADSL上网链路,那么其IP地址是动态的,那么就在VPN时出现问题了。解决这一问题的方法有4种: *动态c...
IPSEC穿越NAT典型配置指导
09-14
IPSEC穿越NAT典型配置指导
IPSec穿越NAT的原理.pdf
09-30
IPSec穿越NAT的原理.pdf
CCNA-静态路由实验
Slash的博客
02-11 1363
实验要求: 1、根据实验要求,我们首先在Ciscopackettracer模拟器中搭建此网络拓扑图 2、然后我们就要开始做很重要的一步,就是地址规划。 R1-R4各需要4个环回,然后路由器的每一个接口需要一个网段,则一共需要14个网段。 常规思路: 将172.16.0.0/16借4位然后进行子网划分,从划分出来的16个子网中拿14进行使用。 但是这样会出现一种弊端,在实际...
Manually Summarizing EIGRP Routes
weixin_33929309的博客
03-24 80
实验目的: 1、理解EIGRP 的自动汇总的缺点。 2、掌握EIGRP 的手工自动总结的配置方法。 实验拓扑图: 16 实验步骤及要求: 1、配置各台路由器的IP 地址,并且使用Ping 命令确认各路由器的直连口的互 通性。 2、配置各台路由器的EIGRP 协议,并且不关闭自动总结。 3、在R2 上使用ping 测试网络路由,会发现R2 路由器无法p...
CCNP4-OSPF关于再发布的排错
weixin_34204722的博客
05-25 198
OSPF关于再发布的排错一 实验核心 Subnets关键字告诉OSPF再分布所有子网路由。没有这个关键字,OSPF只会再发布未划分子网的网络,那就是为什么没有一个RIP网络被正确地再分布。实验:Westasmanping不通远端网络Berlin:router ospf 1 redistribute rip net...
cisco配置hsrp配置
qq_42018521的博客
07-02 2437
转:https://blog.csdn.net/kadwf123/article/details/103700247?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522159361207919725219949807%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=159361207919725219949807&am.
CCNP路由实验之十四 路由器的访问控制ACL
热门推荐
kkfloat博客
10-05 1万+
CCNP路由实验之十四 路由器的访问控制ACL ACL(Access Control List,访问控制列表) 是路由器接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。访问控制列表使用包过滤技术,在路
CCNP1-CCNA回顾+浮动静态路由
践踏记忆的博客
11-03 277
文章目录OSI七层模型与TCP-IP四层模型一些基本概念 OSI七层模型与TCP-IP四层模型 目的:为解决兼容性问题 ----OSI------------------------------------------- TCP-IP -应用层-----------------------------------------| -表示层-------------------------------...
设备调试之Super VLAN技术实践
王明的博客
08-29 398
Super vlan又称为vlan 聚合,专门优化管理IP地址。将一个网段的IP分给不同的子vlan,这些子vlan同属于一个super vlan。每个子vlan都是一个独立的广播域,不同子vlan之间二层网络相互隔离,当子vlan间的用户进行三层网络通信时,使用super vlan的vlan接口的IP地址作为网关地址,这样实现多个子vlan共享一个IP地址,节省了IP地址资源。同时,为了实现不同子vlan间的三层通信及子vlan与其他网络的互通,需要利用ARP代理功能。
Cisco Ping u.u.u
蝼蚁之志
06-14 4462
!    惊叹号表示接收到一个ICMP[消息控制协议]回应应答.PING成功完成. ●   句号表示等待一个应答超时. U   收到一条ICMP不可达消息.路径上的一台路由器没有到达目的主机的路由. C   收到一条ICMP源抑制消息,路径上的一台设备-------可能是目的主机-------收到过多的流量. &   收到一条ICMP超时信息,可能发生路由环路. ------------
ipsec nat穿越
07-28
- *1* *2* *3* [技术点详解---IPSec穿越NAT](https://blog.csdn.net/bytxl/article/details/40152307)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

期待未来的男孩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值