ScreenOS ip6in4 隧道通过传输模式 ipsec？

Question

ScreenOS ip6in4 隧道通过传输模式 ipsec？

Pet*_*ace 5 cisco tunneling ipv6 ipsec screenos

我已经在 ScreenOS 路由器 (SSG-5) 和 Cisco 3925 之间设置了一个点对点传输 ipsec 会话。 ipsec 传输本身运行良好，但是一旦我尝试通过传输引导协议 41 流量，数据包就不会不能正常运输。

我首先假设您需要为 ipsec 连接创建一个隧道，然后使用 ipsec 隧道的传出接口将 ip6in4 隧道作为目标，但是 screenos 不会让您在隧道上创建隧道。

此外，我尝试使用基于策略的 vpn，但是当我尝试使用“隧道 vpn”作为策略目标时，它告诉我未知命令？基于策略的 ipsec 是否有主开/关开关？

以下是我认为的相关配置，尽管我很乐意根据需要提供更多信息。

SCREENOS CONFIG:
---------------------------
set zone id 105 "mytunnel_TUNNEL"
set zone "mytunnel_TUNNEL" tcp-rst
set interface "tunnel.5" zone "mytunnel_TUNNEL"
set address "mytunnel_TUNNEL" "fdee:7e1e::/32" fdee:7e1e::/32
set ike gateway "micmplsv4" address 2.2.2.157 Main outgoing-interface "ethernet0/0" preshare "igdZeIcKNobfusol+CQcpIfvwnFwrxb5g==" sec-level compatible
set vpn "mytunnel" gateway "micmplsv4" no-replay transport idletime 0 sec-level compatible
set vpn "mytunnel" monitor optimized rekey
set vpn "mytunnel" id 0x16 bind interface tunnel.3
set vpn "mytunnel" proxy-id check
set vpn "mytunnel" proxy-id local-ip 8.8.8.10/32 remote-ip 2.2.2.157/32 "ANY"
set policy id 137 from "DMZ" to "mytunnel_TUNNEL"  "fdbe:a922:a316:2::/64" "fdee:7e1e::/32" "ANY" permit
set policy id 136 from "mytunnel_TUNNEL" to "DMZ"  "fdee:7e1e::/32" "fdbe:a922:a316:2::/64" "ANY" permit
set interface "tunnel.3" zone "Untrust"
set interface tunnel.3 ip unnumbered interface ethernet0/0
set vpn "mytunnel" id 0x16 bind interface tunnel.3
set route 2.2.2.157/32 interface tunnel.3


CISCO CONFIG:
------------------------------
ip access-list extended mic2pg
 permit ip host 2.2.2.157 host 8.8.8.10
!
crypto ipsec transform-set transport-esp-3des-sha esp-3des esp-sha-hmac
 mode transport
!
crypto map vpnmap 30 ipsec-isakmp
 set peer 8.8.8.10
 set transform-set transport-esp-3des-sha
 match address mic2pg
!
interface GigabitEthernet0/0.1
 encapsulation dot1Q 1 native
 ip address 2.2.2.157 255.255.255.224
 crypto map vpnmap
!
interface Tunnel3
 no ip address
 ipv6 address FDEE:7E1E:100:F002::1/64
 ipv6 enable
 tunnel source 2.2.2.157
 tunnel mode ipv6ip
 tunnel destination 8.8.8.10
 !
end

Run Code Online (Sandbox Code Playgroud)

Answer 1

dto*_*lis -1

我知道 ScreenOS 中直接路由 6in4 流量存在问题。人们通常做的是创建环回接口来终止 6in4 隧道的一端，然后通过它路由 IPv6 流量。我对带有 Sixxs 的 6in4 隧道使用类似的配置，但我认为一般原则也可能适用于您的情况。请检查此链接以获取更多信息，尤其是“2009 年 9 月 13 日更新”部分。

归档时间：	14 年，6 月前
查看次数：	729 次
最近记录：	14 年，2 月前