还剩19页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
TE考点整理一.排错方法
1.分层
2.分块
3.分段
4.替换二.考点整理
1.PPP(CHAP认证)+Mp捆绑[R1]displayinte_____Serial0/2/2Serial0/2/2currentstate:UPLineprotocolcurrentstate:UPDescription:Serial0/2/2Inte_____The__ximumTran__itUnitis1500Holdtimeris10secLinklayerprotocolisPPPLCPopenedIPCPopenedOutputqueue:Urgentqueuing:Size/Length/Discards0/50/0Outputqueue:Protocolqueuing:Size/Length/Discards0/500/0Outputqueue:FIFOqueuing:Size/Length/Discards0/75/0Inte_____isV35R1displayinte_____s0/2/2Serial0/2/2currentstate:UPLineprotocolcurrentstate:UPDescription:Serial0/2/2Inte_____The__ximumTran__itUnitis1500Holdtimeris10secInternetprotocolpro__ssing:disabledLinklayerprotocolisPPPLCPopenedMPopenedOutputqueue:Urgentqueuing:Size/Length/Discards0/50/0Outputqueue:Protocolqueuing:Size/Length/Discards0/500/0Outputqueue:FIFOqueuing:Size/Length/Discards0/75/0Inte_____isV35R1displayinte_____Mp-group1Mp-group1currentstate:UPLineprotocolcurrentstate:UPDescription:Mp-group1Inte_____The__ximumTran__itUnitis1500Holdtimeris10secLinklayerprotocolisPPPLCPopenedMPopenedIPCPopenedPhysicalisMPbaudrate:128000bpsOutputqueue:Urgentqueuing:Size/Length/Discards0/50/0Outputqueue:Protocolqueuing:Size/Length/Discards0/500/0Outputqueue:FIFOqueuing:Size/Length/Discards0/75/0图为PPP协商过程LCPAUTHNCPCHAP:
1.被验证方使用本地用户及__进行验证
2.被验证方使用默认CHAP__进行验证[R1]displaycurrent-configurationconfigurationluserlocal-userR2passsimh3cte12345servi__-typeppp
2.VLAN(ac__sstrunk)Ac__ss:只允许缺省VLAN通过,仅接收和发送一个VLAN的数据帧一般用于连接用户设备Trunk:允许多个VLAN通过,可以接收和发送多个VLAN的数据帧缺省VLAN的以太网帧不带标签一般用于交换机之间连接单台交换机不同vlan不能够直接通讯:Vlan间路由(
1.单臂路由(路由器+L2SW)
2.Vlan路由(L3SW+L2SW))
1.单臂路由L2SW
1.创建vlan信息
2.将用户接口加入vlan
3.SW上行接口放行相应vlan业务R
1.创建子接口,封装
802.1Qdot1q—trunk协议,并且子接口配置所属vlan
2.配置IP地址
2.Vlan路由
1.L2SW和L3SW保证vlan信息同步注意事项
2.L2SW:
1.创建vlan信息
2.将用户接口加入vlan
3.SW上行接口放行相应vlan业务L3SW:
1.创建vlan信息
2.在连接L2SW的接口上封装trunk协议,放行相关vlan信息
3.创建SVI接口(vlan接口----配置ip地址vlan用户__地址)[SW1]displayporttrunkInte_____PVIDVLANpassingEth0/4/1111020[SW2]displaycurrent-configurationinte_____Vlan-inte_____#inte_____Vlan-inte_____10#inte_____Vlan-inte_____
203.MSTPSTP:(SpanningTreeProtocol,生成树协议)是用于在局域网中消除数据链路层物理环路的协议STP是指IEEE
802.1DRSTP是指IEEE
802.1WMSTP是指IEEE
802.1S作用.通过阻断冗余链路来消除桥接网络中可能存在的路径回环当前路径发生故障时,激活冗余备份链路,恢复网络连通性工作原理:通过在桥之间交换BPDU(BridgeProtocolDataUnit,桥协议数据单元),来保证设备完成生成树的计算过程
1.根桥的选举对比桥ID优先级+__C优先级0----61440手动修改4096的倍数修改桥ID小者为根桥!
2.端口角色的确定
(1)根桥上的端口-----指定端口(转发状态)2每台非根桥必须存在一个(根端口)(非根桥上根路径开销最小的接口)E2002E180G202G183每个物理链路必须存在一台(指定桥)(:根路径开销最小的桥),指定桥上的接口为指定接口(转发状态)4不是指定接口和根接口的端口为阻塞接口MSTP:MSTP(MultipleSpanningTreeProtocol,多生成树协议)将多个VLAN捆绑到一个实例,每个实例生成__的生成树在多条Trunk链路上实现VLAN级负载分担MSTP配置步骤
1.保证SWvlan信息同步
2.SW之间物理链路封装trunk,放行相关vlan业务
3.启用STP技术(MSTP模式)配置MST域
(1)域名
(2)修正级别03实例对应vlan关系
(4)激活
4.指定哪台设备为对应实例的主根和被根[SW2]displaystpregion-configurationOperconfigurationFor__tselector:0Regionname:h3cRevisionlevel:0Instan__Vlans__pped01to911to1921to4094110220[SW1]displaystpbriefMSTIDPortRoleSTPStateProtection0Ethernet0/4/1DESIFORWARDINGNONE0Ethernet0/4/2DESIFORWARDINGNONE1Ethernet0/4/1ROOTFORWARDINGNONE1Ethernet0/4/2ALTEDISCARDINGNONE2Ethernet0/4/1ALTEDISCARDINGNONE2Ethernet0/4/2ROOTFORWARDINGNONE[SW1]displaystpinstan__1-------[MSTI1GlobalInfo]-------MSTIBridgeID:
32768.00e0-fc00-0600MSTIRegRoot/IRPC:
0.00e0-fc00-0700/200MSTIRootPortId:
128.2__sterBridge:
32768.00e0-fc00-0600Costto__ster:0TCre__ived:14----[Port2Ethernet0/4/1][FORWARDING]----PortRole:RootPortPortPriority:128PortCostLegacy:Config=auto/Active=200Desg.Bridge/Port:
0.00e0-fc00-0700/
128.2NumofVlans__pped:1PortTimes:RemHops20----[Port3Ethernet0/4/2][DISCARDING]----PortRole:AlternatePortPortPriority:128PortCostLegacy:Config=auto/Active=200Desg.Bridge/Port:
4096.00e0-fc00-0800/
128.3NumofVlans__pped:1PortTimes:RemHops19STP:BPDU-Protection接入端口设置为边缘端口后,如果接收到配置消息,系统自动将这些端口设置为非边缘端口,重新计算生成树,导致网络震荡交换机开启了BPDU保护功能后,如果接收到BPDU,则交换机关闭此端口,以防止可能产生的网络震荡而被关闭的端口只能由网络管理人员恢复[S3600-01]disstpdown-portDownPortReasonEthernet1/0/2BPDU-Protection
3.5__art-link__artLink是一种针对双上行组网的解决方案,实现了高效可靠的链路冗余备份和故障后的快速收敛一个__artLink组,端口分别为主端口和副端口发送控制VLAN和接收控制VLAN当链路出现故障时,用来发送flush消息报文的vlan,用来刷新网络设备的__C和ARP表信息保护VLAN用户的业务vlan__artLink组的保护VLAN是通过引用MSTP实例来实现的注意事项接收和发送flush消息报文的所有接口STP特性必须关系配置步骤
1.交换设备保证vlan信息同步
2.配置链路聚合(两三层SW)
3.接口封装trunk协议,放行相关业务vlan和控制vlan
4.在trunk类型的接口下关闭STP特性
5.在trunk类型的接口下配置接口允许接收和发送flush消息报文的所有控制vlan
6.在接入层交换机上创建MST域(配置实例与vlan映射关系)
7.在接入层交换机上启用__artlink组(1保护vlan与实例的对应关系2配置针对保护vlan对应的控制vlan3将上行接口加入__art-link组,说明主备关系4开启__art-link组抢占功能)[SW1]displaystpregion-configurationOperconfigurationFor__tselector:0Regionname:000fe2000100Revisionlevel:0Configurationdigest:0x9357ebb7a8d74dd5fef4f2bab50531aaInstan__Vlans__pped01to911to1921to4094110220[SW1]display__art-linkgroup1__artlinkgroup1infor__tion:Devi__ID:000f-e200-0100Preemptionmode:ROLEPreemptiondelay:1sControlVLAN:100ProtectedVLAN:Referen__Instan__1MemberRoleStateFlush-countLast-flush-time-----------------------------------------------------------------------------Ethernet0/4/0__STERACTIVE310:48:422013/12/18Ethernet0/4/1SL__ESTANDBY110:48:022013/12/
184.链路聚合目的增加带宽、提高链路可靠性、负载分担静态聚合双方系统间不使用聚合协议来协商链路信息[SW2]displaylink-aggregationsum__ryAggregationInte_____Type:BAGG--Bridge-AggregationRAGG--Route-AggregationAggregationMode:S--StaticD--DynamicLoadsharingType:Shar--LoadsharingNonS--Non-LoadsharingActorSystemID:0x8000000f-e200-0200AGGAGGPartnerIDSelectUnselectShareInte_____ModePortsPortsType-------------------------------------------------------------------------------BAGG1Snone20NonS[SW2]displaylink-aggregationverboseLoadsharingType:Shar--LoadsharingNonS--Non-LoadsharingPortStatus:S--SelectedU--UnselectedFlags:A--LACP_ActivityB--LACP_TimeoutC--AggregationD--SynchronizationE--CollectingF--DistributingG--DefaultedH--ExpiredAggregationInte_____:Bridge-Aggregation1AggregationMode:StaticLoadsharingType:NonSPortStatusPriorityOper-Key-------------------------------------------------------------------------------Eth0/4/0S327681Eth0/4/1S327681[SW2]displaylink-aggregationsum__ryAggregationInte_____Type:BAGG--Bridge-AggregationRAGG--Route-AggregationAggregationMode:S--StaticD--DynamicLoadsharingType:Shar--LoadsharingNonS--Non-LoadsharingActorSystemID:0x8000000f-e200-0200AGGAGGPartnerIDSelectUnselectShareInte_____ModePortsPortsType-------------------------------------------------------------------------------BAGG1Snone11NonS[SW2]displaylink-aggregationverboseLoadsharingType:Shar--LoadsharingNonS--Non-LoadsharingPortStatus:S--SelectedU--UnselectedFlags:A--LACP_ActivityB--LACP_TimeoutC--AggregationD--SynchronizationE--CollectingF--DistributingG--DefaultedH--ExpiredAggregationInte_____:Bridge-Aggregation1AggregationMode:StaticLoadsharingType:NonSPortStatusPriorityOper-Key-------------------------------------------------------------------------------Eth0/4/0U327681Eth0/4/1S327681[SW2]displayinte_____briefThebriefinfor__tionofinte_____sunderroutemode:Link:ADM-administrativelydown;Stby-standbyProtocol:s-spoofingInte_____LinkProtocol__inIPDescriptionGE0/0/3DOWNDOWN--NULL0UPUPs--Thebriefinfor__tionofinte_____sunderbridgemode:Link:ADM-administrativelydown;Stby-standbySpeedorDuplex:a/A-auto;H-half;F-fullType:A-ac__ss;T-trunk;H-hybridInte_____LinkSpeedDuplexTypePVIDDescriptionBAGG1UP100MaFaA1Eth0/4/0ADM100MAA1Eth0/4/1UP100MFaA1Eth0/4/2DOWN100MAA1Eth0/4/3DOWN100MAA
15.VRRPVRRPVirtualRouterRedundancyProtocol虚拟路由器冗余协议是一种容错协议,是由一台以上的路由器或三层交换机虚拟成一台路由器,而增加__可靠性的协议设备Log日志里出现VRRP配置错误的信息同一个VRRP组内出现多个主设备;配置步骤
1.创建vlan接口配置ip地址
2.将相同vlan接口加入同一VRRP备份组配置虚拟ip地址(用来左右用户__地址)
3.通过在vlan接口下配置vrrp优先级确定主备__
4.主__处配置侦测上行链路
5.配置vrrp验证AuthenticationfailedinIPv4virtualrouter1configuredonVlan-inte_____10:authenticationtypemi__atchIPv4virtualrouter1configuredonVlan-inte_____10detectedaVRRPconfigurationerror:VIRTUALIPADDRESSERRORTheIPv4virtualrouter1configuredonVlan-inte_____10detectedaVRRPconfigurationerror:VIRTUALIPADDRESSCOUNTERROR.TheIPv4virtualrouter1configuredonVlan-inte_____10detectedaVRRPconfigurationerror:ADVERTISEMENTINTERVALERROR.[SW3]displayvrrpIPv4StandbyInfor__tion:RunMode:StandardRunMethod:Virtual__CTotalnumberofvirtualrouters:2Inte_____VRIDStateRunAdverAuthVirtualPriTimerTypeIP---------------------------------------------------------------------[SW3-Vlan-inte_____10]displayvrrpIPv4StandbyInfor__tion:RunMode:StandardRunMethod:Virtual__CTotalnumberofvirtualrouters:2Inte_____VRIDStateRunAdverAuthVirtualPriTimerTypeIP---------------------------------------------------------------------[SW3]displayvrrpverboseIPv4StandbyInfor__tion:RunMode:StandardRunMethod:Virtual__CTotalnumberofvirtualrouters:2Inte_____Vlan-inte_____10VRID:1AdverTimer:50AdminStatus:UpState:BackupConfigPri:100RunningPri:100PreemptMode:YesDelayTime:0AuthType:______Key:h3cInte_____Vlan-inte_____20VRID:2AdverTimer:50AdminStatus:UpState:__sterConfigPri:120RunningPri:120PreemptMode:YesDelayTime:0AuthType:NoneVirtual__C:0000-5e00-
01026.静态路由配置时须注意所有路由器上都必须配置到所有网段的路由下一跳地址须为直连链路上可达的地址静态黑洞路由可以消除环路
7.RIP静默端口使用在rip协议中------接口只收不发rip消息报文接口是否正确启动RIP协议Network命令包含两层含义-在接口地址包含在network主网络内的三层接口上使能RIP-在RIP更新中发布相应的路由Filter-policy是否设置正确Filter-policy命令设置不当,拒绝了相应路由加入路由表注意事项过滤策略在调用访问控制列表和地址前缀列表时默认拒绝所有!ACL配置是否拒绝了路由更新报文包过滤防火墙RIP版本1不连续子网问题RIPv1是有类路由协议,在不连续子网的情况下,会导致子网路由缺失[RT1]displayrip1Public___-instan__name:RIPpro__ss:1RIPversion:2Preferen__:100Checkzero:EnabledDefault-cost:0Sum__ry:DisabledHostroutes:Enabled__ximumnumberofbalan__dpaths:6Updatetime:30secsTimeouttime:180secsSuppresstime:120secsGarbage-collecttime:120secsupdateoutputdelay:20msoutputcount:3TRIPretran__ittime:5secsTRIPresponsepacketsretran__itcount:36Silentinte_____s:NoneDefaultroutes:DisabledVerify-sour__:EnabledNetworks:Configuredpeers:NoneTriggeredupdatessent:2Numberofrouteschanges:4Numberofrepliestoqueries:9[RT1]displaycuconfrip#rip1undosum__ryversion2*Dec1816:11:39:7032013RT2RM/6/RMDEBUG:Packet:vers2cmdresponselength64*Dec1816:11:39:7032013RT2RM/6/RMDEBUG:authentication-mode______:h3c*Dec1816:11:39:7032013RT2RM/3/RMDEBUG:RIP1:Ignoringthispacket.Authenticationvalidationfailed.*Dec420:03:55:5002008RTBRM/3/RMDEBUG:RIP1:Ignoringthispacket.Versionisnotconfigured.RT1*Dec1816:36:46:5472013RT1RM/6/RMDEBUG:Packet:vers2cmdresponselength
648.OSPF静默端口使用在ospf协议中-----接口不收不发ospf消息报文RouterID的选择人为手动指定如无手动指定,系统优选最大的loopback,无loopback,其次为最大的接口地址Routerid相同,则邻居关系无法建立[RT1]displayospferrorOSPFPacketErrorStatistics34:OSPFRouterIDconfusion0:OSPFbadpacket0:OSPFbadversion0:OSPFbadchecksum0:OSPFbadareaID0:OSPFdroponunnumberedinte_____0:OSPFbadvirtuallink0:OSPFbadauthenticationtype0:OSPFbadauthenticationkey0:OSPFpackettoo__all0:OSPFNei___orstatelow0:OSPFtran__iterror3:OSPFinte_____down0:OSPFunknownnei___or0:HELLO:Net__skmi__atch0:HELLO:Hellotimermi__atch0:HELLO:Deadtimermi__atch0:HELLO:Externoptionmi__atch0:HELLO:Nei___orunknown38:DD:MTUoptionmi__atch0:DD:UnknownLSAtype0:DD:Externoptionmi__atch0:LSACK:Badack0:LSACK:UnknownLSAtype0:LSREQ:Emptyrequest0:LSREQ:Badrequest0:LSUPD:LSAchecksumbad0:LSUPD:Re__ivedlessre__ntLSA0:LSUPD:UnknownLSAtype如子网掩码不同,则邻居建立失败物理直连广播类型的链路配置地址需要在同一网段中*Dec1910:05:24:0942013RT2RM/6/RMDEBUG:OSPF1:RECVPacket.*Dec1910:05:24:0942013RT2RM/6/RMDEBUG:Ver#2Type:1Length:
44.*Dec1910:05:24:0942013RT2RM/6/RMDEBUG:AuType:00Keyascii:
00000000.*Dec1910:05:24:0942013RT2RM/6/RMDEBUG:Hello:net__skmi__atch.[RT2-ospf-1]displayospferrorOSPFPacketErrorStatistics0:OSPFRouterIDconfusion0:OSPFbadpacket0:OSPFbadversion0:OSPFbadchecksum0:OSPFbadareaID0:OSPFdroponunnumberedinte_____0:OSPFbadvirtuallink0:OSPFbadauthenticationtype0:OSPFbadauthenticationkey0:OSPFpackettoo__all0:OSPFNei___orstatelow0:OSPFtran__iterror0:OSPFinte_____down0:OSPFunknownnei___or12:HELLO:Net__skmi__atch[RT1]displayospfinte_____查看ospf在区域中的接口信息Inte_____sIPAddressTypeStateCostPriDRBDROSPF特殊区域作用用来减少区域中LSA的数量存根区域(StubArea)-----减少了
4、5类LSA由ABR下放一条3类的缺省来代替OSPF邻接关系停滞在异常状态(接口MTU不一致、接口优先级都为0)OSPF路由无法通告[RT1]displayospfbriefOSPFProtocolInfor__tionGigabitEthernet0/0/0Cost:1State:DRType:BroadcastMTU:1500Priority:1Timers:Hello10Dead40Poll40Retran__it5Tran__itDelay1Silentinte_____NohellosRT1displayospfcumulativeCumulationsIOStatisticsTypeInputOutputHello016DBDescription00Link-StateReq00Link-StateUpdate00Link-StateAck00RT1displayospferrorOSPFPacketErrorStatistics0:OSPFRouterIDconfusion0:OSPFbadpacket0:OSPFbadversion0:OSPFbadchecksum25:OSPFbadareaID0:OSPFdroponunnumberedinte_____
9.BGP传送协议TCP,端口号179基于TCP点到点单播发送BGP消息报文!BGPSpeaker只选最优的给自己使用BGPSpeaker只把自己使用的路由通告给相邻体BGPSpeaker从EBGP获得的路由会向它所有BGP相邻体通告(包括EBGP和IBGP)BGPSpeaker从IBGP获得的路由不向它的IBGP相邻体通告BGPSpeaker从IBGP获得的路由是否通告给它的EBGP相邻体要依IGP和BGP同步的情况来决定连接一建立,BGPSpeaker将把自己所有BGP路由通告给新相邻体BGP邻居无法建立问题查看是否配置了正确的邻居、AS号Routerid是否冲突检查邻居能否Ping通,由于一台路由器可能有多个接口能够到达对端,应使用扩展Ping命令检查,指定Ping包的源IP地址为建立邻居关系的地址如果不能Ping通检查IGP路由表中是否有邻居的路由检查是否配置了禁止TCP端口179的ACL,如果有,取消对179端口的禁止如果使用loopback接口建邻居,查看是否配置了peerconnect-inte_____命令如果是EBGP邻居,检查和对端建邻居的接口是否up;BGP路由无法发布使用displaybgppeer命令查看BGP邻居是否已经建立;查看路由表中是否存在所需的IGP路由BGP自己无法生成路由,只能由IGP学习路由,然后BGP再引入使用network命令引入路由时,在路由表中一定要存在该路由才能够引入而且network发布的路由必须与路由表中的路由精确匹配才能发布,即路由的掩码长度要匹配查看BGP是否配置了路由引入,将IGP路由引入到BGP中;查看BGP是否配置了路由策略将路由过滤掉;IBGP对等体没有全连接造成路由无法发布BGP规定从IBGP对等体收到的路由信息不能向另一个IBGP对等体发送BGP路由接收问题检查路由信息中的AS_PATH是否包含本路由器的AS,如果路由信息中AS_PATH中包含本路由器的AS,则该路由被丢弃查看是否是由于路由迭代的原因造成的迭代后下一跳不可达的路由不能加入路由表查看路由表中是否存在其他路由和BGP路由相同,在路由的优先级中,BGP的优先级最低,如果有其他路由存在,BGP路由不会生效查看BGP的配置,看是否配置了入口路由策略将BGP路由信息过滤掉
10.___(greoveripsec/ipsecovergre)GRE协议最简单的一种三层__技术以IP作为传输协议,在IP协议之上承载其他网络层协议,包括IP、IPX等GREIP协议号为47Tunnel技术GRE___封装格式承载协议/封装协议/载荷协议/载荷数据IPoverIP:公网ip/GRE/私网ip/DATA检查GRETunnel参数配置是否正确查看GRETunnel的源、目的IP是否配置正确[RT3]displaycuintTunnel#inte_____Tunnel0检查GRETunnel外层IP可达性__的源和目的是否通信使用ping检测GRETunnel外层源、目的IP的可达性注意事项双方站点均有去往对方__目的地址的路由通常情况,在站点配置去往对方的缺省路由即可!检查GRETunnel两端KEY是否一致如果启用了GREKEY,GRETunnel两端KEY必须一致如果启用了GREkeepalive,GRETunnel两端keepalive必须一致[RT3]displayinte_____Tunnel0Tunnel0currentstate:UPLineprotocolcurrentstate:UPDescription:Tunnel0Inte_____The__ximumTran__itUnitis1472InternetAddressisPri__ryEncapsulationisTUNNELservi__-loopback-groupIDnotset.Tunnelbandwidth64kbpsTunnelkeepaliveenabledPeriod10sRetries3Tunnelprotocol/transportGRE/IPGREkeyvalueis1ChecksummingofGREpacketsdisabled检查GRETunnel两端设备路由表配置静态路由,或者动态路由,指向GRETunnel[RT3]displayiprouting-tableRoutingTables:PublicDestinations:10Routes:10Destination/__skProtoPreCostNextHopInte_____检查GRETunnel的MTU值检查GRETunnel的MTU大小,是否支持1500字节的数据包IPSec:IPSec是一种保障IP数据安全传输的协议IPSec介于网络层和传输层之间,能够为上层协议提供安全服务,包括数据的完整性、真实性、机密性以及防重放IPSec封装格式包括AH和ESP两种AH:完整性校验、源验证、防重放ESP:完整性校验、源验证、加密、防重放SA安全联盟(确定对数据流进行如何保障)确定使用哪种安全协议、验证算法、加密算法、动态协商安全密钥安全协议HAESP验证算法MD5SHA加密算法:DES3DESAES动态协商安全密钥IKE因特网密钥交换协议)---ISAKMPdisplayikesa显示由IKE建立的安全__displayipsecsa显示IPSec安全联盟的具体信息IKE使用了两个阶段为IPSec进行密钥协商并建立SA1第一阶段,通信各方彼此间建立了一个已通过身份认证和安全保护的通道,即建立一个ISAKMPSA第一阶段有主模式(__inMode)和野蛮模式(AggressiveMode)两种IKE交换方法2第二阶段,用在第一阶段建立的安全__为IPSec协商安全服务,即为IPSec协商具体的SA,建立用于最终的IP数据安全传输的IPSecSA配置步骤
1.配置ikesa(系统有默认)
2.配置IPSec___对等体共享密钥交换模式交换类型本端地址远端地址远端用户本地安全__名
3.配置安全ACL
4.配置IPSecsa
5.创建IPSec安全策略调用参数(ike-peer安全aclipsec-sa)
6.接口调用安IPsec全策略检查IPSec__公网地址是否可达从IPSec__一侧ping对端公网地址,检查公网地址可达性检查SecurityACL配置是否正确IPSec要求通讯双方的SecurityACL互为镜像,如果不符合镜像原则,会导致IPSecSA协商失败检查SecurityACL模式是否一致IPSec__两端SecurityACL模式必须一致,IPSec__才能连通检查IPSec__两端安全提议是否一致IPSec通讯双方的__封装模式、封装格式、加密算法、验证算法等,都应该一致[RT3]displayikeproposalpriorityauthenticationauthenticationencryptionDiffie-Hell__ndurationmethodalgorithmalgorithmgroupseconds---------------------------------------------------------------------------1PRE_SHAREDSHADES_CBCMODP_76886400defaultPRE_SHAREDSHADES_CBCMODP_76886400[RT1]displayipsecproposalIPsecproposalname:1encapsulationmode:tunneltransform:esp-newESPprotocol:authenticationmd5-h__c-96encryptiondes检查预共享密钥是否相同IPSec__两端预共享__必须完全相同,否则会导致IKE载荷不能识别,无法通过阶段一协商[RT3]displayikepeer---------------------------IKEPeer:r1exchangemode:__inonphase1pre-shared-key______h3cpeeridtype:ippeeripaddress:localipaddress:peername:nattr__ersal:disabledpd:GREOverIPSEC是指先把数据封装成GRE包,然后再封装成IPSEC包做法是在物理接口上监控,是否有需要加密的GRE流量(访问控制列表针对GRE两端的设备ip),所有的这两个端点的GRE数据流将被加密分装为IPSEC包再进行传递,这样保证的是所有的数据包都会被加密,包括__的建立和路由的建立和传递IPSECOverGRE即IPSEC在里,GRE在外先把需要加密的数据包封装成IPSEC包,然后再扔到GRE__里作法是把IPSEC的加密作用在Tunnel口上的,即在Tunnel口上监控(访问控制列表监控本地ip网段-源ip和远端ip网段-目的地),是否有需要加密的数据流,有则先加密封装为IPSEC包,然后封装成GRE包进入__(这里显而易见的是,GRE__始终无论如何都是存在的,即GRE__的建立过程并没有被加密)IPsecoverGRE和GREoverIPsec在配置上的区别GREoverIPsecIPsecoverGREACL定义GRE数据流内网数据流IKEPeer中指定的remote-address对方公网地址对方GRETunnel地址应用端口公网出口GRETunnel上。