闯仔,ipsec vpn V7版本与V5版本命令配置是的问题
问题 1: v5版本里有nat穿越的概念,V7 版本里怎么配置
问题2: v5 版本IPSEC 安全策略里有pfs dh-group2 这命令,V7版本ipsec安全车略里没有,但是V7版本的安全提议里可以配置pfs dh-group2,疑问: v5 版本IPSEC 安全策略里配置了pfs dh-group2,V7版本怎样配置,在IPsec提议里配置吗?
问题三:V5版本把Ipsec应用在接口下有 ipsec no-nat-process enable ,是干什么用的?V7版本怎样配置?
v7设备默认开启NAT穿越,可根据IKE协商情况来决定是否使用NAT穿越
pfs dh-group 配置使用IPsec安全策略发起协商时使用PFS特性
ipsec no-nat-process enable , 使能接口下的NAT业务将报文透传给IPSec业务处理 缺省状态下,如果接口下同时配置了NAT和IPSec,则接口发送的报文,会依次经过NAT业务和IPSec业务的处理
A:MSR3
acl number 31
rule
ike proposal 3
dh group2
authentication-algorithm md5
#
ike peer peer
exchange-mode aggressive
proposal 3
pre-shared-key cipher $c$3$Zt55qA4xluK23xC1TffboRZZfL+5WdIw
id-type name
remote-name 5
remote-address Y
local-name 3
nat traversal
#
ipsec transform-set tran1
encapsulation-mode tunnel
transform esp
esp authentication-algorithm sha1
esp encryption-algorithm des
#
ipsec policy use1 1
security acl 31
ike-peer peer
transform-set tran1
#
interface GigabitEthernet
port link-mode route
ip address X
ipsec policy use1
B:MSR5
acl number 31
rule
#
ike proposal 5
dh group
authentication-algorithm md5
#
ike peer peer
exchange-mode aggressive
proposal 5
pre-shared-key cipher PMEfbsX
id-type name
remote-name 3
remote-address X
local-name 5
nat traversal
#
ipsec proposal tran1
esp authentication-algorithm sha1
#
ipsec policy map 1
security acl 31
ike-peer peer
proposal tran1
#
interface GigabitEthernet
port link-mode route
ip address Y
ipsec policy map
两端vpn不能成功,以上是两个设备的配置,请帮忙分析一下
2CRM论坛(CRMbbs.com)——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容,欢迎向我们投稿,共建CRM多元化生态体系,创建CRM客户管理一体化生态解决方案。,IPSec VPN V7版本与V5版本命令配置是的问题
