j'ai compris

Négociation IKE d'IPsec

publié il y a  2020-9-21 00:32:25Dernière réponse Sep 21, 2020 00:33:43 183 1 0 0 0
  Récompense F-coins.: 0 (Résolu)

Salut à tous,

Comme le montre la figure suivante, IPSec est utilisé pour crypter le trafic de communication entre FW1 et FW2. L'adresse IP de G0 / 0/0 sur FW1 / FW2 est 202.100.100.1/202.100.100.2.

ipsec

La configuration IPsec est la suivante.

ipsec

Question: La négociation IKE ne peut réussir que lorsqu'une route par défaut vers 202.100.100.2 est configurée sur FW1. Sinon, FW1 n'envoie pas de paquets de négociation IKE. Les paquets capturés montrent que l'adresse IP source du paquet de négociation IKE est 202.100.100.1 et que l'adresse IP de destination est 202.100.100.2, c'est-à-dire l'adresse IP directement connectée. Alors pourquoi le paquet de négociation IKE n'est-il pas envoyé sans route par défaut?


  • x
  • Standard:

Réponses en vedette

Meilleure réponse

mariano93
publié il y a 2020-9-21 00:33:43

Bonjour,
Par défaut, le mode de déclenchement du tunnel IPSec est traffic-based, un tunnel IPSec est déclenché par des flux de données sortants correspondant à la stratégie IPSec. 

Si la route par défaut n'est pas configurée, les paquets de 192.168.10.10 à 192.168.20.20 envoyés par PC1 ne peuvent pas atteindre le G0 / 0/0 de FW1 sans guidage d'itinéraire, donc le tunnel IPSec ne peut pas être déclenché.

Lors de la configuration de la stratégie IPsec, vous pouvez exécuter la  commande sa trigger-mode auto pour déclencher automatiquement le tunnel IPSec. De cette manière, la route par défaut n'est pas requise car l'adresse IP publique est accessible. Cependant, bien que le tunnel soit configuré, l'intranet ne peut toujours pas communiquer entre eux car aucune route n'est disponible.


View more
  • x
  • Standard:

Toutes les réponses
mariano93
mariano93 publié il y a 2020-9-21 00:33:43

Bonjour,
Par défaut, le mode de déclenchement du tunnel IPSec est traffic-based, un tunnel IPSec est déclenché par des flux de données sortants correspondant à la stratégie IPSec. 

Si la route par défaut n'est pas configurée, les paquets de 192.168.10.10 à 192.168.20.20 envoyés par PC1 ne peuvent pas atteindre le G0 / 0/0 de FW1 sans guidage d'itinéraire, donc le tunnel IPSec ne peut pas être déclenché.

Lors de la configuration de la stratégie IPsec, vous pouvez exécuter la  commande sa trigger-mode auto pour déclencher automatiquement le tunnel IPSec. De cette manière, la route par défaut n'est pas requise car l'adresse IP publique est accessible. Cependant, bien que le tunnel soit configuré, l'intranet ne peut toujours pas communiquer entre eux car aucune route n'est disponible.


View more
  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.