初学×××,碰到IPSec-×××,
发现transform-set里面的mode改变不了。
也就是手工改变了没有作用。
不知何解
恳求高手解答!
 
用最简单的site-to-site ×××  静态,
公网用OSPF
 
拓扑如下
 
 
配置如下:
 
 
R1:
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2 
crypto isakmp key cisco address 192.168.23.3
!
!
crypto ipsec transform-set r1r3 esp-3des esp-md5-hmac
  mode transport
!
crypto map r1r3 1 ipsec-isakmp
 set peer 192.168.23.3
 set transform-set r1r3
 match address 100
!
interface Loopback0
 ip address 1.1.1.1 255.255.255.0
!
interface Serial0/0
 ip address 192.168.12.1 255.255.255.0
 ip ospf 1 area 0
 crypto map r1r3


ip route 3.3.3.0 255.255.255.0 Serial0/0
  
access-list 100 permit ip 1.1.1.0 0.0.0.255 3.3.3.0 0.0.0.255
 
 
 
 
R3:
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2 
crypto isakmp key cisco address 192.168.12.1
!
!
crypto ipsec transform-set r3r1 esp-3des esp-md5-hmac
 mode transport
!
crypto map r3r1 1 ipsec-isakmp
 set peer 192.168.12.1
 set transform-set r3r1
 match address 100
!
!
interface Loopback0
 ip address 3.3.3.3 255.255.255.0
!

interface Serial0/1
 ip address 192.168.23.3 255.255.255.0
 ip ospf 1 area 0
 crypto map r3r1

ip route 1.1.1.0 255.255.255.0 Serial0/1

access-list 100 permit ip 3.3.3.0 0.0.0.255 1.1.1.0 0.0.0.255
 
 
 
 
我用了transport模式,
但是,show crypto ipsec sa 显示还是tunnel
 
而且抓包也是tunnel模式:
 
 
 
 
请高手指点迷津~~~~~~~~
 
而且,在做IPSec-×××穿越PAT的时候,
PAT自动识别了×××的UDP500和UDP4500端口,
都没有用静态映射,
 
抓包时发现,新的UDP的头都被添加在ESP头前面(无论用那种模式)
 
 
为什么?
 
 
transform-set中的模式到底是干什么用的?《不讨论GRE over IPSec》
 
 
求解
求解
 
 
求解
求解
 
 
求解
求解