NetBuddy.Org论坛 - 求助：VPN client拨入问题


	欢迎访客 ( 登陆 \| 注册 )

NetBuddy.Org论坛 ->技术论坛 ->网络世界

求助：VPN client拨入问题

« 上一篇主题 | 下一篇主题 »

跟踪主题 | 邮寄主题 | 打印主题

ivanwang

1. 求助：VPN client拨入问题

HP : 0 / 114

MP : 15 / 947

EXP : 59%

江湖小虾

成员等级: 5
发表总数: 46
金币总数: 83
所属组别: 普通成员
注册日期: 2006/03/16

拓扑图如下：
(第二贴为问题描述)

附带图片

一个人的快乐，不是因为他拥有的多，而是因为他计较的少。

发表于2006/04/29, 17:21

ivanwang

2. Re: 求助：VPN client拨入问题

HP : 0 / 114

MP : 15 / 947

EXP : 59%

江湖小虾

成员等级: 5
发表总数: 46
金币总数: 83
所属组别: 普通成员
注册日期: 2006/03/16

VPN client拨入后获得的IP为193.168.1.10-193.168.1.20

现在出现的问题是:
1.VPN client A可以拨入PIX515e,可以访问vlan1,但是无法访问VLAN5,
2.VPN client B不能连接pix515E

路由器(C2821)配置
interface GigabitEthernet0/0
ip address 218.247.52.232 255.255.255.128
ip nat outside
interface GigabitEthernet0/1
ip address 192.168.100.1 255.255.255.0
ip nat inside

ip classless
ip route 0.0.0.0 0.0.0.0 218.247.52.254

ip nat inside source list 110 pool abc overload
ip nat inside source static 192.168.100.2 interface GigabitEthernet0/0

access-list 110 permit ip 192.168.100.0 0.0.0.255 any

line vty 0 4
password 12345

防火墙(pix515E)配置

fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69

access-list 101 permit ip 192.168.0.0 255.255.0.0 193.168.1.0 255.255.255.0
access-list no-nat permit ip 192.168.0.0 255.255.0.0 193.168.1.0 255.255.255.0

ip address outside 192.168.100.2 255.255.255.0
ip address inside 192.168.6.226 255.255.255.0

ip local pool pool1 193.168.1.10-193.168.1.20 mask 255.255.255.0

global (outside) 1 192.168.100.11-192.168.100.200 netmask 255.255.255.0
nat (inside) 0 access-list no-nat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

route outside 0.0.0.0 0.0.0.0 192.168.100.1 1 下一跳为路由器
route inside 192.168.1.0 255.255.255.0 192.168.6.225 1
route inside 192.168.2.0 255.255.255.0 192.168.6.225 1
route inside 192.168.3.0 255.255.255.0 192.168.6.225 1
route inside 192.168.4.0 255.255.255.0 192.168.6.225 1
route inside 192.168.5.0 255.255.255.0 192.168.6.225 1
route inside 192.168.7.0 255.255.255.0 192.168.6.225 1

sysopt connection permit-ipsec

crypto ipsec transform-set hj_set esp-des esp-md5-hmac
crypto dynamic-map hj_dynamicmap 10 set transform-set hj_set
crypto map hj_map 10 ipsec-isakmp dynamic hj_dynamicmap
crypto map hj_map client configuration address initiate
crypto map hj_map client configuration address respond
crypto map hj_map interface outside

isakmp enable outside
isakmp key ******** address 0.0.0.0 netmask 0.0.0.0
isakmp identity address
isakmp nat-traversal 20
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

vpngroup hj_vpdngroup address-pool pool1
vpngroup hj_vpdngroup dns-server 218.247.252.1
vpngroup hj_vpdngroup default-domain hj
vpngroup hj_vpdngroup split-tunnel 101
vpngroup hj_vpdngroup idle-time 1800
vpngroup hj_vpdngroup password ********

telnet 192.168.0.0 255.255.0.0 inside
telnet timeout 60

交换机(C3750)配置

interface Vlan101
ip address 192.168.1.225 255.255.255.0

interface Vlan102
ip address 192.168.2.225 255.255.255.0

interface Vlan103
ip address 192.168.3.225 255.255.255.0

interface Vlan104
ip address 192.168.4.225 255.255.255.0

interface Vlan105
ip address 192.168.5.225 255.255.255.0

interface Vlan106
ip address 192.168.6.225 255.255.255.0

interface Vlan107
ip address 192.168.7.225 255.255.255.0

ip classless

ip route 0.0.0.0 0.0.0.0 192.168.6.226 下一跳为防火墙-默认路由

一个人的快乐，不是因为他拥有的多，而是因为他计较的少。

发表于2006/04/29, 17:25

keaizhu

3. Re:求助：VPN client拨入问题

HP : 0 / 224

MP : 40 / 3548

EXP : 98%

江湖豪客

成员等级: 9
发表总数: 120
金币总数: 147
所属组别: 普通成员
注册日期: 2003/08/15

不能访问vlan 5的问题似乎出在包的返回上。假如vpn client 被配置192。168。1。15的ip, 当包从vlan 5返回的时候会被'flood"到vlan1所有的port。这时候因为vlan1没有任何一个port拥有1。15，这个包应该就石沉大海了。而当包从vlan 1返回的时候会有一个针对1。15的boardcast, 这时候pix似乎应该对这个boardcast响应，从而把这个包递送给远端的vpn client. 我瞎猜的，不太清楚vpn的实际操作啊，呵呵。。有知道的敬请指正。

发表于2006/05/17, 00:22

主题评分

未评分. 匿名用户无权对主题进行评分

0 名会员正在浏览该主题 (0 名游客和 0 名隐身会员)

0 名会员:

有 2 篇回复自 2006/04/29, 17:21

跟踪主题 | 邮寄主题 | 打印主题

<< Back to 网络世界