你好,这里是网络技术联盟站。
本文我将分享一个有关 IPSec 单向连接的实验,IPSec VPN生成后,一个站点到另一个站点的流量正常,反之不正常。
客户在两台防火墙之间建立IPSec VPN,经测试发现FW2下的用户R3可以ping通FW1下的用户R2,反之则不行。
结果显示从 R2 到 R3 (10.1.21.2:53675 --> 10.1.22.2:2048) 的流量在防火墙上没有被丢弃,并且私有流量无需 NAT 直接转发到互联网。
检查接口 g1/0/1 配置。
该接口下没有IPSec策略配置
由于FW1和FW2之间的IPSec VPN建立正确,所以在g1/0/1接口下没有应用IPSec策略配置。检查接口 g1/0/0 配置。
IPSec VPN 应用在接口 g1/0/0 下。
查看FW1上的路由表,发现防火墙上有两条默认路由,R2到R3的流量hash到g1/0/1接口,而IPSec VPN建立在g1/0/接口0。
流量被散列到连接并且没有实施 IPSec 策略。
在 FW1 上配置静态路由,明确指定到 R3 的下一跳为 10.1.11.2,使流量通过接口 g1/0/0 转发。
原创声明,本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 本站 删除。
关注作者,阅读全部精彩内容
