取消
显示结果 
搜索替代 
您的意思是: 
cancel
4720
查看次数
0
有帮助
6
回复

IPsec 多网段通信问题

埖小枫
Level 1
Level 1
ASA5520:ver9.1(7),网络环境:内网192.168.10.0/24, dmz区域192.168.100.0/24,希望通过IPsecVPN同时访问内网和DMZ区域,内网可以访问DMZ
问题描述:ASA与外部建立IPsecVPN以后,只有单个网段能够通过ipsec通信,取决于优先访问哪个网段
ping 192.168.10.0可以,ping 192.168.100.0不通,重启ipsec连接,ping 192.168.100.0可以,ping192.168.10.0不通
有时候会出现抢占,不过同时间只有一个网段可以访问,抢占后不返还通道
6 条回复6

埖小枫
Level 1
Level 1
不好意思,第一次发帖,没有设置金钱,也不知哪里修改,麻烦高手帮忙,是不是IOS的限制,还是哪里的配置有问题,目前没有解决思路, 考虑设置大网段192.168.0.0/16测试,目前还没做

参考一下这个配置示例呢,看看有没有帮助:
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/119007-config-asa9x-ike-ipsec-00.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

埖小枫
Level 1
Level 1
IPsec已经建立成功了,只是多接口网段,同一时间只有单接口的网段可以通信,会阻塞其他接口的网段,谢谢回复

robortlin
Spotlight
Spotlight
你画个拓扑更加清晰点

qitan58380588
Level 1
Level 1
阶段一建立过程中:
1)主模式-----站点到站点VPN:SITE-to-SITE
对方的IP地址是固定的
主模式协商阶段一的时候,使用到6个数据包。注:前4个报文为明文传输,从第5个数据报文开始为密文传输。
2)积极模式----远程访问VPN
对方的IP地址不是固定的,可以用IP地址或者域名进行建立连接
不晓得你的配置有问题,还是怎么回事。

碧云天
Spotlight
Spotlight
因为eve中ASA915没有VPN的license,接口起IKEv1会报错,我用ASAv 9.91与思科路由器建立L2L VPN,没有楼主说的问题。https://www.evernote.com/l/AS8EjODIkfpApr589kPk50aigA46PEkPWpE/
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接