您如何使用 Cisco 路由器上的 IPSec 配置文件定义有趣的流量?

网络工程 思科 ipsec 隧道
2022-03-05 13:28:47

如果这是重复的,我深表歉意,但我很难弄清楚如何使用隧道接口引用的 IPSec 配置文件在 Cisco 路由器上定义有趣的流量。

定义有趣流量的老式方法是使用应用于接口的加密映射。如果通过该接口的流量与加密映射下配置的访问列表匹配,则会在通过 IPSec 隧道发送时对其进行加密。如果没有,流量仍然可以通过接口,只是没有加密。

使用 IPSec 配置文件,您可以配置隧道接口以将其用作“保护”,并且根据您使用的模式,它可以是直接向上的 IPSec 隧道,也可以是该 IPSec 隧道中的另一种类型的隧道 (gre)。

我想知道的是:使用 IPSec 配置文件,通过隧道的所有流量都被加密。您似乎不必选择通过 ACL 定义有趣的流量。当对方使用带有 ACL 定义有趣流量的加密映射时,这是如何工作的?它似乎有效,但我不知道为什么,因为 ACL 应该是第 2 阶段协商的一部分。

1个回答

VTI(虚拟隧道接口tunnel mode ipsec ipv4)的第 2 阶段协商将0/0.0.0.0:0作为“本地子网”提供,并在第0/0.0.0.0:02 阶段协商期间接受(扩展为“任何协议、任何 ip、任何端口”)作为“远程子网”。如果远程端可以应对 - 那么这就是你的隧道。

您应该能够通过show crypto ipsec sa.

其它你可能感兴趣的问题
上一篇Fortigate的规格含义 下一篇没有导出/导入的路由目标有什么用?