技术知识库 Kms
最新资讯 New
2015/3/5
华为与百度签署合作备忘录 共
2015/3/5
华为联合英运营商建全球最快4
2015/3/5
华为云南合作伙伴新春答谢暨颁
2015/3/3
MWC 2015,定义5G—
2015/3/3
华为发布LTE-A Ever
搜索   Search
你的位置:首页 > 技术知识库 > 华为 > 路由

AR IPSEC与CISCO IPSEC对接,CISCO采用动态模板形式

2014/10/12 13:26:21点击:
问题描述
Cisco设备作为总部,AR作为分支设备,cisco采用动态模板的方式创建map。同时使用ip的方式进行协商。

告警信息
处理过程
AR设备的配置
 # acl number 3000
rule 10 permit ip source 4.4.4.4 0
#
ipsec proposal 1
#
ike proposal 1
#
ike peer vpn1 v1
exchange-mode aggressive
pre-shared-key simple huawei123
ike-proposal 1
remote-address 192.168.2.2
#
ipsec policy vpn1 10 isakmp
security acl 3000
ike-peer vpn1
proposal 1
#
interface GigabitEthernet0/0/0
ip address 192.168.1.2 255.255.255.0
ipsec policy vpn1


Cisco设备的配置
!
crypto isakmp policy 10
  authentication pre-share
crypto isakmp key huawei123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set TRANS01
esp-des esp-md5-hmac
!
crypto dynamic-map vpn 10
 set transform-set TRANS01
 match address 102
!
crypto map vpn2 10 ipsec-isakmp dynamic vpn
!
access-list 102 permit ip any host 3.3.3.3
access-list 102 permit ip any host 4.4.4.4
! interface GigabitEthernet0/0
   ip address 192.168.2.2 255.255.255.0
   duplex auto 
   speed auto
   media-type rj45
   crypto map vpn2


AR的ike sa:

Cisco 的ike sa:
根因
建议与总结
思科动态策略图就是目前AR所支持的总部采用模板方式,如果总部采用模板方式,此时总部是完全被动接受分支的主动协商的,这种方式可以支持分支地址为动态地址的场景。本案例中分支地址是确定的,AR采用野蛮模式的IP方式与思科进行对接。在采用模板的场景中,如果思科作为总部,需要配置ACL,而如果AR作为总部,ACL会自动生成,无需配置。当然该场景如果采用主模式也可以对接成功,思科不区分主模式和野蛮模式。