105和一台防火牆之間建立IPSec VPN
IKE SA和IPSec SA均已協商成功,但是業務不通。
1、檢查兩邊SA中的感興趣流,發現是對稱的。
2、檢查對端防火牆策略,是放通的,並且會話顯示是105側沒有回包。
3、在105上debugging ipsec packet,發現105側隻有inbound esp,沒有outbound esp。
4、經確認,交換機做IPSec,設備通過ACL來識別由IPsec隧道保護的流量時,受保護的流量隻能是源地址或目的地址為本機的報文。ACL中定義的匹配轉發流量的規則不生效,IPsec不會對設備轉發的任何數據流和語音流進行保護。
交換機上IPsec不能封裝轉發流量,原因是交換機會通過硬件直接轉發,報文不上CPU。IPsec業務必須在CPU處理。
並且使用GRE over IPSec也是不可以的,因為GRE走的也是硬件轉發,不會上CPU處理。