第6章安全VPN撥號業(yè)務故障排除

第6章安全VPN及撥號業(yè)務故障清除第6章安全VPN及撥號業(yè)務故障清除網(wǎng)絡故障診療與清除目錄目錄第6章安全VPN及撥號業(yè)務故障清除..........2016.1IPSec和IKE故障清除綜述..............................................................................................201IPSec和IKE知識簡介...........................................................................................201IPSec和IKE配置的一般步驟................................................................................203手工方式下IPSec功能和性能的常有問題............................................................205磋商方式下IPSec和IKE功能和性能的常有問題.................................................210IPSec和IKE配置過程的注意事項........................................................................2136.2與IPSec和IKE故障有關(guān)的dispaly、debugging命令介紹.........................................226displayacl.............................................................................................................226displayikeproposal.............................................................................................227displayikesa229displayipsecpolicy.............................................................................................230displayipsecproposal........................................................................................233displayipsecsa234displayipsecstatistics........................................................................................239debuggingipsec...................................................................................................240debuggingike2426.3IPSec和IKE故障事例剖析..............................................................................................244兩頭的SPI不般配致使SA磋商失敗....................................................................244密鑰不般配造成沒法通信.......................................................................................247兩頭ACL不般配致使階段2磋商失敗..................................................................251兩頭pre-shared不一致致使階段1的SA磋商失敗............................................256應用接口錯誤致使階段2磋商失敗........................................................................260ACL配置重疊致使通信失敗...................................................................................2656.4包過濾防火墻故障清除綜述..............................................................................................270包過濾防火墻知識簡介..........................................................................................270包過濾防火墻故障清除的一般步驟........................................................................2786.5與包過濾防火墻故障有關(guān)的display、debugging命令介紹...........................................280displayacl.............................................................................................................280displayfirewall-statistics.....................................................................................282debuggingfirewall...............................................................................................2836.6包過濾防火墻故障事例剖析..............................................................................................285接見控制策略錯誤致使防火墻無效........................................................................285忽視了其余信息使得防火墻不通............................................................................2906.7L2TP故障清除綜述..........................................................................................................294L2TP知識簡介.......................................................................................................294i網(wǎng)絡故障診療與清除目錄L2TP功能和性能的常有問題.................................................................................297L2TP故障清除的一般步驟.....................................................................................3046.8與L2TP故障有關(guān)的display、debugging命令介紹......................................................306displayl2tpsession.............................................................................................306displayl2tptunnel................................................................................................307debuggingl2tp.....................................................................................................3086.9L2TP故障事例剖析..........................................................................................................310LAC和LNS之間能正常成立地道但不可以創(chuàng)立會話（1）.......................................310LAC和LNS之間能正常成立地道但不可以創(chuàng)立會話（2）.......................................314接入服務器與LNS之間不可以互通..........................................................................3186.10GRE故障清除綜述.........................................................................................................320GRE知識簡介......................................................................................................320GRE功能和性能的常有問題................................................................................322GRE故障清除的一般步驟....................................................................................3236.11與GRE故障有關(guān)的display、debugging命令介紹.....................................................324diplayinterfacestunnel.....................................................................................3246.12GRE故障事例剖析.........................................................................................................326GRE地道兩頭的PC之間不可以相互ping通.........................................................3266.13DCC、ISDN故障清除綜述.............................................................................................328DCC、ISDN知識簡介..........................................................................................328DCC功能和性能的常有問題................................................................................330DCC故障清除的一般步驟....................................................................................3456.14與DCC故障有關(guān)的display、debugging命令介紹.....................................................347displaydialerinterface......................................................................................347displayisdnactive.............................................................................................349displayisdncall-info..........................................................................................351debuggingdialer................................................................................................3536.15DCC故障事例剖析.........................................................................................................354Dialer接口借用Ethernet0口地點時ping不通..................................................354遠程撥號Modem配置惹起沒法登錄..................................................................359與Win2K沒法互通.............................................................................................360路由器ISDN撥號不行功.....................................................................................363AUX接口數(shù)據(jù)配置錯誤致使超級終端顯示亂碼...................................................366ii網(wǎng)絡故障診療與清除目錄iii網(wǎng)絡故障診療與清除目錄iv網(wǎng)絡故障診療與清除目錄v第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除第6章安全VPN及撥號業(yè)務故障清除6.1IPSec和IKE故障清除綜述IPSec和IKE知識簡介IPSec簡介IPSec就是IP安全，也就是安全的IP。IPSec在網(wǎng)絡層起作用，為上層協(xié)議供給安全服務。IPSec供給的安全服務包含：完好性：保證接收到的數(shù)據(jù)在傳遞過程中沒有被中間人竄悔過。真切性：保證接收到的數(shù)據(jù)是由所宣稱的發(fā)送方發(fā)送的，防備地點欺詐。機密性：發(fā)送方在發(fā)送前將數(shù)據(jù)進行加密，保證數(shù)據(jù)的私有性。防重放：IPsec報文的接收方能夠檢測到并拒絕重放的報文。IPSec安全協(xié)議包含：AH和ESP。AH協(xié)議供給了完好性、真切性、以及防重放服務，沒有供給機密性服務。201第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除可是AH協(xié)議的完好性和真切性服務比ESP協(xié)議的保護范圍更大。ESP協(xié)議供給了完好性、真切性、機密性以及防重放服務。IPSec使用的主要算法目前有：考證算法：MD5和SHA1，用于供給完好性和真切性。加密算法：DES、3DES、Blowfish、CAST等，用于供給機密性。IKE簡介與IPSec密不行分的一個協(xié)議是IKE，它用于IPSec安全結(jié)盟及密鑰的自動化管理，準時為IPSec磋商密鑰，創(chuàng)立、刪除安全結(jié)盟等。IKE使用兩個階段的ISAKMP：第一階段：磋商創(chuàng)立一個通信信道，并對該信道進行認證，為雙方進一步的IKE通信供給機密性、信息完好性以及信息源認證服務。202第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除第二階段，使用已成立的IKESA成立IPSecSA。從下列圖我們能夠看出IKE和IPSec之間的關(guān)系。IKE的SA磋商IKEIKESASATCPUDPTCPUDPIPSecIPSecIP加密的IP報文圖6-1IKE和IPSec之間的關(guān)系圖IPSec和IKE配置的一般步驟IPSec和IKE故障清除的一般步驟IPSec和IKE的配置過程比較復雜，需要配置的命令許多。IPSec配置的三個因素以下，嫻熟掌握將有助于安全配置：203第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除what：哪些數(shù)據(jù)需要保護，用ACL去定義你要保護的數(shù)據(jù)流。where：在傳輸路徑的哪一段實行保護，定義地道的兩個端點。how：怎樣保護這些數(shù)據(jù)，定義安全建議proposal。手工模式IPSec基本配置手工方式和磋商方式的配置過程稍有不一樣：對于手工方式，配置步驟以下：1）．明確要保護什么（what），也就是定義ACL。2）．明的確施保護的地點（where）。3）．明確怎樣保護（how），定義安全建議proposal。4）．定義安全策略（ipsecpolicy）。5）．定義安全策略的模式為manual。6）．將上邊三個因素捆綁到安全策略中。7）．定義安全結(jié)盟所用的密鑰。204第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除8）．在適合的接口上應用安全策略。磋商模式IPSec基本配置對于磋商方式，因為安全結(jié)盟的參數(shù)是磋商出來的，而不是手工配置的，所以只有第5）步與手工方式不一樣，其余幾步基真相同。配置步驟以下：1）．明確要保護什么（what），也就是定義ACL。2）．明的確施保護的地點（where）。3）．明確怎樣保護（how），定義安全建議Proposal。4）．定義安全策略（ipsecpolicy）。5）．定義安全策略的模式為isakmp。）．將上邊三個因素捆綁到安全策略中。7）．配置IKE的參數(shù)（IKE的proposal和共享密鑰）。8）．在適合的接口上應用安全策略。205第6章網(wǎng)絡故障診療與清除手工方式下IPSec功能和性能的常有問題

安全VPN及撥號業(yè)務故障清除手工方式下安全結(jié)盟不可以成立當用displayipsecsa或displayipsecsapolicy命令檢查安全結(jié)盟時發(fā)現(xiàn)沒有看到相應的安全結(jié)盟，檢查以下配置：檢查相應的安全策略能否應用到了接口上。檢查安全策略能否設(shè)置了要保護的數(shù)據(jù)流。檢查securityacl命令能否引用了正確的ACL號，該ACL號能否已經(jīng)定義。檢查安全策略能否設(shè)置了安全建議。檢查proposal命令能否引用了安全建議（proposal），并且該proposal已經(jīng)被定義。檢查安全策略能否設(shè)置了地道端點。檢查tunnellocal命令和tunnelremote命令能否配置。206第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除檢查安全結(jié)盟的SPI。檢查在安全策略中能否設(shè)置了安全結(jié)盟的SPI，能否進入和出門兩個方向都設(shè)置了，SPI的值能否獨一。檢查安全結(jié)盟的密鑰能否設(shè)置正確。假如在引用的安全建議中采納了加密算法，則應當設(shè)置加密密鑰；假如在安全建議中采納了考證算法，則應當設(shè)置考證密鑰。假如采納十六進制方式指定密鑰，則要分別指定加密密鑰和考證密鑰；假如采納字符串方式指定密鑰，則只需配置一個string-key參數(shù)。需要注意的是，出門和進入兩個方向的密鑰都要設(shè)置。假如以十六進制指定密鑰，還要檢查密鑰的長度能否與算法要求的相同。在接口應用IPSec安全策略或改變安全策略參數(shù)時會給出必定的提示信息，用戶能夠依據(jù)這些信息來定位問題。207第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除參數(shù)配置了但不切合算法需要時（比如引用的proposal中選擇的是sha1算法，而配置的考證密鑰不足20個字節(jié)）的提示信息以下：CreateSAFailed#(NewESPProtocol):keylength16doesn'tmatchalgorithmHMAC-SHA1-96usKeySize(20)手工方式下成立了安全結(jié)盟，但不可以通信假如用displayipsecsa或displayipsecsapolicy命令檢查安全結(jié)盟時看到相應的安全結(jié)盟已經(jīng)成立，但不可以通信，則檢查以下配置：安全結(jié)盟兩頭的配置的ACL能否互為鏡像采納的安全協(xié)議能否相同采納的算法能否一致SPI能否般配密鑰能否般配定義的地道端點能否相同208第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除因為通信是雙方面的，一方固然成立了安全結(jié)盟，但其雙方的參數(shù)沒法般配起來，相同不可以通信。手工方式下成立了安全結(jié)盟，有些數(shù)據(jù)流能通信，但有些不通出現(xiàn)這類狀況時，可檢查兩頭的安全策略所定義的數(shù)據(jù)流能否互為鏡像。ACB圖6-2數(shù)據(jù)流部分重疊上圖所示的就是兩個數(shù)據(jù)流不是互為鏡像，造成雙方只有部分數(shù)據(jù)流是相同的。比如：[RTA]aclnumber3000[RTA-acl-300]rulepermitipsourcedestinationany[RTB]aclnumber3000[RTB-acl-3000]rulepermitipsourcedestinationany這時，雙方定義的數(shù)據(jù)流的會合只有網(wǎng)段和網(wǎng)段之間的數(shù)據(jù)流是重疊的（也就是圖中的C部分），其209第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除余不相同（上圖中的A、B兩部分）。這樣只好保證訂交部分的數(shù)據(jù)流能通信，其余部分的數(shù)據(jù)流不可以通信。注意：采納手工方式創(chuàng)立安全結(jié)盟，因為手工方式的數(shù)據(jù)、安全結(jié)盟是靜態(tài)的，診療相對簡單些，只需注意以下幾點即可清除常有的故障：參數(shù)能否配齊參數(shù)能否般配ACL能否互為鏡像磋商方式下IPSec和IKE功能和性能的常有問題磋商方式的IPSec安全結(jié)盟是由IKE磋商生成的。要診療此類的故障，第一要清210第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除楚安全結(jié)盟的成立過程。其辦理過程以下：適合的數(shù)據(jù)流從應用IPsec的接口轉(zhuǎn)發(fā)出去第一步RTA觸發(fā)IKE磋商階段1的SA第二步RTA在IKE階段1安全結(jié)盟的保護下磋商階段2的IPSecSA第三步RTA在階段2安全結(jié)盟保護下進行通信第l四步RTA

RTBRTBRTBRTB圖6-3安全結(jié)盟成立過程當一個報文從某接口出門時，假如此接口應用了IPSec，會進行安全策略的般配。假如找到般配的安全策略，會查找相應的安全結(jié)盟。假如安全結(jié)盟還沒有成立，則觸發(fā)IKE進行磋商。IKE第一成立階段1的安全結(jié)盟，或稱為IKESA。在階段1安全結(jié)盟的保護下磋商階段2的安全結(jié)盟，也就是IPSecSA。用IPSecSA保護通信數(shù)據(jù)。211第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除當出現(xiàn)故障時，第一要知道是在哪個階段出現(xiàn)的問題，而后再依據(jù)相應的階段進行診療。階段1的SA沒有成立。假如是階段1的SA沒有成立，應當對實行IPSec通信的雙方都進行檢查。接口能否應用了安全策略；能否有般配的數(shù)據(jù)流觸發(fā)；能否為對方配置了共享密鑰，以及共享密鑰能否一致（采納pre-share考證方式時）。階段2的SA沒有成立在階段1的SA成立后，影響階段2的SA成立的因素主要有：ACL能否般配，依據(jù)前面所表達的般配原則進行檢查；安全建議能否一致；設(shè)置的地道對端地點能否般配；應用的接口能否正確。212第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除兩個階段的SA都成立起來了，但不可以通信在這類狀況下，一般都是因為ACL的配置不妥惹起的。應當檢查ACL的配置是否切合要求。IPSec和IKE配置過程的注意事項確立要保護的數(shù)據(jù)流時的注意事項需要保護與子網(wǎng)之間的所有IP通信。以下列圖所示：E1/0S0/0S0/0E1/0InternetPCARTARTBPCB圖6-4IPSec和IKE典型組網(wǎng)圖用3000～3999之間的擴展ACL來表示，規(guī)則編號為3000，正確數(shù)據(jù)流過濾規(guī)則為：[RTA]aclnumber3000[RTA-acl-3000]rulepermitipsourcedestination[RTB]aclnumber3000213第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除[RTB-acl-3000]rulepermitip注意事項：對于IPSec要保護的數(shù)據(jù)流，我們只定義出門方向的數(shù)據(jù)流，不需要定義進入方向的數(shù)據(jù)流。進入方向的數(shù)據(jù)流與出門方向數(shù)據(jù)流的源和目的正好相反。假如只需要保護某一類數(shù)據(jù)，而非所有的IP數(shù)據(jù)，則能夠在acl的定義中明確指出，如指定詳細的端口號或端口號范圍。IPSec供給的是端到端的安全。參加IPSec通信的兩個平等體所定義的數(shù)據(jù)流的會合一定完好重合。不然會造成一部分通信能通，而有些通信不可以通。所謂數(shù)據(jù)流完好重合也就是兩個平等體所定義的數(shù)據(jù)流互為映照。也就是說RTA定義的數(shù)據(jù)流的源就是RTB定義的數(shù)據(jù)流的目的，RTA定義的數(shù)據(jù)流的目的就是RTB定義的數(shù)據(jù)流的源。ACL的定義應214第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除該正確反應實質(zhì)需求，不可以用any要點詞簡單取代。確立實行保護地點時的注意事項報文在傳輸路徑的哪一段實行安全保護呢？或換句話說，IPSec安全地道的兩個端點定義在哪里？IPSec安全地道是用來保護需要保護的通信數(shù)據(jù)的，應當是在要保護的數(shù)據(jù)進入不相信網(wǎng)絡前就要實施IPSec保護，在走開不相信網(wǎng)絡后才可排除IPSec保護。一般狀況下是連結(jié)公網(wǎng)的接口處，或許說是連結(jié)不相信網(wǎng)絡的接口處。能夠在兩個子網(wǎng)的網(wǎng)關(guān)間實行安全保護，也能夠在主機與網(wǎng)關(guān)，或主機與主機間實行保護，以下列圖所示：215第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除InternetPCARTARTBPCBIPSecTunnelInternetPCARTARTBPCBIPSecTunnelInternetPCARTARTBPCBIPSecTunnel圖6-5IPSec實行保護的地點IPSec實行保護的地點分為：對于第一種狀況，數(shù)據(jù)在兩個網(wǎng)關(guān)間是遇到保護的，在子網(wǎng)中是不受保護的，這類配置的前提是雙方對于子網(wǎng)是相信的。地道的端點即是兩個路由器連結(jié)公網(wǎng)的接口。對于第二種狀況，數(shù)據(jù)在主機和對方的網(wǎng)關(guān)間遇到保護。這時地道的端點是主機和路由器。主機不相信自己所在的子網(wǎng)內(nèi)部，而相信對方所在網(wǎng)絡的子網(wǎng)，在數(shù)據(jù)216第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除發(fā)出主機前，就對數(shù)據(jù)進行了IPSec保護。這類狀況一般多用于挪動辦公的用戶連到總部的網(wǎng)關(guān)的狀況。第三種狀況是由主機到主機的狀況。對于主機與主機間的狀況，因為與路由器沒太大關(guān)系，只需保證路由器能同意IPSec數(shù)據(jù)流和IKE磋商報文經(jīng)過即可。確立怎樣保護數(shù)據(jù)時的注意事項我們知道了要保護哪些數(shù)據(jù)，以及在哪里需要保護，那么又怎樣保護呢？也就是說，需要什么樣的安全服務：能否需要機密性？能否需要數(shù)據(jù)源考證？以及保護的強度怎樣？等等。假如數(shù)據(jù)不怕被中間人看到，但需要防備中間人竄改數(shù)據(jù)、或假造數(shù)據(jù)，則需要數(shù)據(jù)源考證功能。AH協(xié)講和ESP協(xié)議都供給了數(shù)據(jù)源考證功能，但ESP協(xié)議沒有對報文頭進行考證。一般狀況下，假如只需要考證功能，建議選擇AH協(xié)議。217第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除假如即需要考證功能，還需要數(shù)據(jù)的機密性，則一定采納ESP協(xié)議來達成。ESP即供給了考證功能，也供給了數(shù)據(jù)加密功能。使用什么樣的安全協(xié)議、什么樣的加密算法、什么樣的考證算法。這些由安全建議proposal）來定義。當只需要考證功能時，使用AH協(xié)議；當需要對數(shù)據(jù)進行加密和考證時，使用ESP協(xié)議。不介紹用法：使用ESP只做加密，而不做考證：這類方式被證明是危險的；使用ESP加密，AH進行考證：使用這類方法比直接用ESP對數(shù)據(jù)進行加密和考證辦理復雜，并且在絕大多半狀況下沒有多少用途；218第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除用AH、ESP進行兩次考證：除特別想使用這類方式外，不然不要用，沒有實質(zhì)意義；只使用ESP的考證而不加密：這在協(xié)議標準上稱作“NULL加密”，介紹使用AH代替這類方式。注意：沒有考證的加密是不安全的。在安全中，第一位的是考證。假如沒有考證，沒法得悉數(shù)據(jù)的真切性和靠譜性。在Porposal定義時要注意封裝模式的選擇，假如保護的數(shù)據(jù)的源和目的不與IPsec地道重合不可以使用傳輸transport）模式，只好使用地道tunnel）模式。不然，沒法對數(shù)據(jù)實行IPSec保護。219第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除定義安全策略時的注意事項在確立了三個因素后，用安全策略ipsecpolicy）將它們聯(lián)系到一同。安全策略包含：需要保護的數(shù)據(jù)流（即What），用securityacl命令來指定ACL。怎樣保護（即How），用proposal命令來指定所使用的安全建議。安全地道成立在哪里（即Where），用tunnelremote命令指定地道的對端地點。對于手工成立安全結(jié)盟的安全策略，地道的本端地點需用命令tunnellocal來指定；對磋商方式成立安全結(jié)盟的安全策略，采納IPSec安全策略應用的接口地點，不需要指定本端的地道地點。對于手工方式創(chuàng)立的安全策略，因為協(xié)議算法所需要的密鑰和一些參數(shù)需要手工220第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除指定，所以還一定配置其余的參數(shù)，這些參數(shù)包含：安全結(jié)盟的安全參數(shù)索引SPI算法所使用的密鑰。假如使用了考證算法就一定指定考證算法所使用的密鑰；假如使用了加密算法，就一定指定加密算法所使用的密鑰。并且位數(shù)一定切合算法的要求。在手工配置密鑰時，需要注意以下幾點：IPSec安全結(jié)盟是單向的，分為出門數(shù)據(jù)流的安全結(jié)盟和進入數(shù)據(jù)流的安全結(jié)盟。所以在配置時需要分別配置入方向和出方向的安全結(jié)盟。SPI參數(shù)是安全參數(shù)索引，嚴格講，對于每一個安全結(jié)盟，應當是獨一的，不該當與其余的安全結(jié)盟的SPI相同。同一個地道的兩個方向的安全結(jié)盟也不該當相同。221第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除對于一個安全地道的兩頭，其參數(shù)應當是般配的。般配的含義就是一端的出方向的安全結(jié)盟的參數(shù)應當與另一端的入方向的安全結(jié)盟的參數(shù)相同；一端入方向的安全結(jié)盟的參數(shù)應當與另一端出方向的安全結(jié)盟參數(shù)相同。手工方式下，能夠用兩種方式來指定安全結(jié)盟的密鑰：字符串或十六進制形式。假如使用字符串方式，只需為每個方向的安全結(jié)盟指定一個字符串，即可為協(xié)議所使用的算法派生出相應的密鑰。假如用十六進制形式指定密鑰，則一定嚴格依據(jù)算法的要求指定協(xié)議所有算法所需的密鑰。注意：對于手工方式的安全策略，其安全結(jié)盟的密鑰需要在安全策略定義中指定，以上的配置就足夠了；而對于自動磋商方式的安222第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除全策略，由其產(chǎn)生的安全結(jié)盟的密鑰、SPI等一些參數(shù)是由IKE磋商產(chǎn)生的。所以，對于磋商方式的安全策略，還需要一些IKE的配置工作。IKE的配置在進行完上邊的幾步后，IPSec的安全策略已經(jīng)配置達成。假如采納自動磋商方式的安全策略，就應當進行有關(guān)的IKE配置。假如采納手工方式的安全策略，則不需要這一步。IKE的配置主要有雙方面：IKE的安全策略（proposal）共享密鑰（pre-sharedkey）在配置IKE時，需要注意以下幾點：IKE的配置是鑒于整個路由器的，而IPSec的安全策略是鑒于接口的。223第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除路由器有一個缺省的IKE安全策略。其優(yōu)先級最低，當參加IKE磋商的雙方配置的IKE安全策略都不般配時，會采納此缺省的IKE安全策略。所以，即便沒有配置IKE的proposal，雙方也會有般配的IKE安全策略，因為有一個缺省的proposal。假如在一臺路由器上定義了好幾個參數(shù)相同的IKEproposal，其成效與配置一個IKEproposal是相同的。應用所定義的安全策略組最后一步就是應用所定義的安全策略組。在接口配置模式下，履行ipsecpolicy命令在指定接口應用此安全策略組。假如所應用的安全策略是手工方式成立安全結(jié)盟，會馬上生成安全結(jié)盟。假如所應用的是自動磋商方式的安全結(jié)盟，不會馬上成立安全結(jié)盟，只有當切合某IPSec224第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除安全策略的數(shù)據(jù)流從該接口出門時，才會觸發(fā)IKE去磋商IPSec安全結(jié)盟。安全策略應當應用到要保護的數(shù)據(jù)流的出門接口上。應當重申三點：出門接口；保證保護的數(shù)據(jù)流應當此后接口出去，而不是其余的接口；對方實行了舉措，保證保護的數(shù)據(jù)應當此后接口進來。IPSec和IKE的其余配置IKE的keepalive體制能夠判斷對端能否還可以正常通信。IKE的keepalive需要配置兩個參數(shù)：interval：發(fā)送keepalive報文的時間間隔。timeout：超時檢測的時間間隔，建議時間間隔為interval的3倍左右。225第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除注意：在一臺路由器上應當同時配置這兩個參數(shù)，并且參數(shù)要般配。interval和timeout要成對出現(xiàn)，即在一個路由器上配置了timeout參數(shù)，那么在對端就要配置interval參數(shù)。interval的參數(shù)應當小于對端的timeout參數(shù)值，而不該當與本端進行比較。6.2與IPSec和IKE故障有關(guān)的dispaly、debugging命令介紹Quidway中低端路由器上用于清除IPSec和IKE故障的的常用命令在下邊分別介紹。226第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除displayacl【命令】displayacl[all|aclt-number]【視圖】所有視圖【參數(shù)】all：顯示所有的ACL規(guī)則。acl-number：以數(shù)字表示的ACL。i【描繪】命令displayacl用來顯示配置的接見控制列表的規(guī)則。默認狀況下，規(guī)則的般配次序為config（配置次序），display命令將不會顯示該般配次序；而假如般配次序為auto時，display命令則會顯示出該次序。227第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除【舉例】#顯示目前所使用的序號為2000的ACL規(guī)則。[Quidway]displayacl2000Basicacl2000,2rules,rule1permit(0timesmatched)rule2permitsource0(0timesmatched)displayikeproposal【命令】displayikeproposal【視圖】所有視圖【描繪】displayikeproposal命令用來顯示每個IKE建議配置的參數(shù)。228第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除IKE建議依據(jù)優(yōu)先級的先后次序顯示。有關(guān)配置可參照命令authentication-method，ikeproposal，encryption-algorithm，authentication-algorithm，dh，saduration?！九e例】[Quidway]displayikeproposalpriorityauthenticationauthenticationencryptionDiffie-Hellmandurationmethodalgorithmalgorithmgroup(seconds)---------------------------------------------------------------------------10PRE_SHAREDSHADES_CBCMODP_1024500011PRE_SHAREDMD5DES_CBCMODP_76850000defaultPRE_SHAREDSHADES_CBCMODP_76886400displayikesadisplayikesa【命令】229第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除displayikesa【視圖】所有視圖【描繪】displayikesa命令用來顯示由IKE成立的安全地道。displayikesa顯示安全通道列表，內(nèi)容包含對端地點（peer）、通道狀態(tài)（flags）、磋商階段（phase)和DOI。安全通道與安全結(jié)盟是完好不一樣的兩個觀點，安全通道是一個兩頭能夠互通的通道，而IPSecSA則是一個單向的連結(jié)，所以安全通道是由一對或幾對安全結(jié)盟構(gòu)成的?！九e例】[Quidway]displayikesaConnect-IDPeerFlagPhaseDoi2RD2IPSEC1RD1IPSECFlagmeaningRD--READYST--STAYALIVERL--REPLACEDFD--FADINGTO--TIMEOUTdisplayikesa命令域參數(shù)描繪域名描繪230第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除域名描繪Connect-ID安全通道的表記符Peer此安全結(jié)盟的對端的IP地點顯示此安全結(jié)盟的狀態(tài)NONE表示此SA正在成立中READY表示此SA已成立成功STAYALIVE表示此方為SA倡始方，在軟超時（即SA到達生計周期前的某個時間，此時開始新SA的磋商）的時候Flag將由此方倡始從頭磋商REPLACED表示此SA已經(jīng)被新的SA代替，不再被使用，并將在10秒后被刪除FADING表示此SA發(fā)生了軟超時，但目前還可以夠使用，等候新的SA磋商好后進行代替或待硬超時（即SA持續(xù)整個生計周期直到時間或流量超時）被刪除PhaseSA所屬的階段DoiSA所屬解說域displayipsecpolicy【命令】displayipsecpolicy{brief|namepolicy-name[sequence-number]}【視圖】所有視圖【參數(shù)】brief：顯示所有的安全結(jié)盟的簡要信息。231第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除name：表示顯示名字為policy-name，次序號為seq-number的安全策略的信息。policy-name：為安全策略名。sequence-number：為安全策略的序列號。【描繪】displayipsecpolicy命令用來顯示安全策略的信息。brief子命令表示將顯示所有安全策略的簡要信息，顯示格式為簡要格式（拜見下邊的舉例）。利用brief子命令能夠迅速查察所有的安全策略。簡要信息包含：安全策略名及次序號、磋商方式、接見控制列表號、建議、本端地點、對端地點。232第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除其余子命令均顯示安全策略的詳盡信息，顯示格式為詳盡格式（拜見下邊的舉例）。【舉例】顯示安全策略簡要信息。[Quidway]displayipsecpolicybriefIPSec-Policy-NameModeACLProposalLocalAddressPeerAddresspolicy1-10manual101tran1233第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除IPSec安全策略簡要信息描繪表域名描繪IPsecproposal建議的名字nameencapsulation建議采納的模式，包含兩種：傳輸（transport）和地道（tunnel）模mode式transform建議采納的安全協(xié)議，包含兩種：AH協(xié)講和ESP協(xié)議ahprotocolAH協(xié)議采納的認證算法espprotocolESP協(xié)議采納的認證算法和加密算法displayipsecproposal【命令】displayipsecproposal[proposal-name]【視圖】所有視圖【參數(shù)】234第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除proposal-name：為安全建議名。【描繪】命令displayipsecproposal顯示建議的配置信息，假如沒有指定建議的名字，則顯示所有的提議的信息?！九e例】顯示安全建議的信息。[Quidway]displayipsecproposalIPsecproposalname:prop2encapsulationmode:tunneltransform:ah-newahprotocol:authenticationsha1-hmac-96IPsecproposalname:prop1encapsulationmode:transporttransform:esp-newespprotocol:authenticationmd5-hmac-96,encryptiondes235第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除displayipsecsa【命令】displayipsecsa{brief|remoteip-address|policypolicy-name[seq-number]|duration}【視圖】所有視圖【參數(shù)】brief：顯示所有的安全結(jié)盟的簡要信息。remoteip-address：表示顯示對端地點為ip-address的安全結(jié)盟的信息。policy：表示顯示由指定安全策略創(chuàng)立的安全結(jié)盟的信息。policy-name：指定安全策略的名字。236第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除seq-number：指定安全策略的次序號。duration：表示顯示全局的安全結(jié)盟生計周期?！久枥L】displayipsecsa命令用來顯示安全結(jié)盟的有關(guān)信息。使用brief參數(shù)顯示所有的安全結(jié)盟的簡要信息，顯示格式為簡要格式（拜見下邊的舉例），簡要信息包含：源地點、目的地點、安全參數(shù)索引、協(xié)議、算法。此中，算法的顯示以“E:”開頭的表示加密算法，以“A:”開頭的237網(wǎng)絡故障診療與清除【舉例】

第6章安全VPN及撥號業(yè)務故障清除表示認證算法。利用brief命令能夠迅速查察所有已經(jīng)成立的安全結(jié)盟。使用remote和policy參數(shù)均顯示安全結(jié)盟的詳盡信息，顯示格式是先顯示安全策略的部分信息，再顯示此安全策略中的安全結(jié)盟的詳盡信息。使用duration參數(shù)顯示全局的安全結(jié)盟的生計時間，包含“鑒于時間”和“鑒于流量”兩種種類。拜見下邊的舉例。當未指定任何參數(shù)時，顯示所有的安全結(jié)盟的信息。238第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除顯示所有已成立的安全結(jié)盟的簡要信息。[Quidway]displayipsecsaSrcAddressDstAddressSPIProtocolAlgorithm54321NEW_ESPE:DES;A:HMAC-SHA1-96;12345NEW_ESPE:DES;A:HMAC-SHA1-96;239第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除displayipsecstatistics【命令】displayipsecstatistics【視圖】所有視圖【描繪】displayipsecstatistics命令用來顯示IPSec辦理報文的統(tǒng)計信息。240第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除【舉例】顯示IPSec的報文統(tǒng)計信息。[Quidway]displayipsecstatisticsthesecuritypacketstatistics:input/outputsecuritypackets:5124/8231input/outputsecuritybytes:52348/64356input/outputdroppedsecuritypackets:0/0droppedsecuritypacketdetail:noenoughmemory:0can'tfindSA:0queueisfull:0authenfailed:0invalidlength:0replaypacket:0toolongpacket:0invalidSA:0debuggingipsec【命令】241第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除debuggingipsec{all|sa|misc|packet[policypolicy-name[seq-number]|parametersip-addressprotocolspi-number]}【視圖】所有視圖【參數(shù)】all：翻開ipsec所有的調(diào)試開關(guān)。sa：顯示安全結(jié)盟的調(diào)試信息。packet：顯示IPSec數(shù)據(jù)報文的調(diào)試信息。policypolicy-name：顯示安全策略名為policy-name的IPSec調(diào)試信息。242網(wǎng)絡故障診療與清除【描繪】

第6章安全VPN及撥號業(yè)務故障清除seq-number：顯示安全策略順序號為seq-number的IPSec調(diào)試信息。parameters：顯示由目的地點ip-address、protocol（ah或esp）、SPI（spi-number）所唯一確立的一個安全結(jié)盟的調(diào)試信息。misc：顯示IPSec其余調(diào)試信息。命令debuggingipsec用來打開IPSec調(diào)試開關(guān)，命令undodebuggingipsec用來封閉IPSec調(diào)試開關(guān)。243第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除缺省狀況下，封閉IPSec調(diào)試開關(guān)。debuggingike【命令】debuggingike{all|error|exchange|message|misc|transport}【視圖】所有視圖【參數(shù)】all：所有IKE調(diào)試功能。error：IKE錯誤信息。exchange：IKE互換模式調(diào)試信息。244第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除message：IKE信息包調(diào)試信息。misc：IKE所有其余調(diào)試信息。transport：IKE傳輸功能調(diào)試信息。【描繪】命令debuggingike用來翻開IKE調(diào)試開關(guān)，命令undodebuggingike用來封閉IKE調(diào)試開關(guān)。245第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除缺省狀況下，IKE調(diào)試開關(guān)封閉。6.3IPSec和IKE故障事例剖析兩頭的SPI不般配致使SA磋商失敗問題描繪在RTA和RTB之間成立IPSec地道，保護PCA和PCB之間的通信。采納ESP安全協(xié)議，保證數(shù)據(jù)的完好性、機密性。SPI=12345SPI=12345Protocal=espProtocal=espIPSecTunnelE1/0S0/0S0/0E1/0InternetPCARTARTBPCB圖6-6手工配置安全策略保護數(shù)據(jù)問題以下：在上履行ping，發(fā)現(xiàn)不通。246第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除display信息或debugging信息顯示在RTA和RTB上使用displaycurrent-configuration命令，顯示以下：[RTA]displaycurrent-configuration??.acl3000match-orderautorule0permitipsourcedestination#ipsecproposalproposal1#ipsecpolicypolicy110manualsecurityacl3000proposalproposal1tunnellocaltunnelremotesaspiinboundesp34567sastring-keyinboundespabcdefsaspioutboundesp12345sastring-keyoutboundespbcdefg??.interfaceSerial0/0clockDTECLK1link-protocolpppipaddressripversion2multicastipsecpolicypolicy1??.[RTB]displaycurrent-configuration??acl3000match-orderautorule0permitipsourcedestination#ipsecproposalproposal1#247第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除ipsecpolicypolicy110manualsecurityacl3000proposalproposal1tunnellocaltunnelremotesaspiinboundesp54321sastring-keyinboundespbcdefgsaspioutboundesp34567sastring-keyoutboundespabcdef??.在RTA和RTB上使用debuggingipsecpacket和debuggingipsecmisc命令翻開調(diào)試開關(guān)。在主機上再次履行ping，兩個路由器上輸出的調(diào)試信息以下：[RTA]info-centerconsoledebugging[RTA]debuggingipsecpacket[RTA]debuggingipsecmiscSendIPSecPacket#FromtoTunnelMode.AddingouterIPheadersucceed#SPI:12345(0x00003039)SrcDstNewESP(RFC2406)EncAlg:DESAuthAlg:HMAC-MD5-96AuthenticationFinished#(NewESP:RFC2406)EncryptionFinished#(NewESP:RFC2406)SequenceNumber:9NowsendittoIPoutputprocess...[RTB]info-centerconsoledebugging[RTB]debuggingipsecpacket[RTB]debuggingipsecmiscReceivedIPSec(ESP)Packet#SPI:12345(0x00003039)fromtoNewESP(RFC2406)EncAlg:DES;AuthAlg:HMAC-MD5-96;AuthenticationFailed#ESP_New_Input( ):authenticationfailedforpacketfromto248第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除3.1,spi00003039DecryptionFailed#esp_input( ):processingfailedforESPpacketfromto,spi00003039原由剖析RTB上的調(diào)試信息表示已經(jīng)收到從RTA發(fā)出的IPSec報文，可是找不到SPI為12345的SA。觀察RTB的安全策略的定義，入方向esp的SPI定義為54321，這就是找不到的原由。辦理過程將RTB上的入方向esp的SPI改為12345就能夠了。[RTB]ipsecpolicypolicy110manual[RTB-ipsec-policy-policy1-10]saspiinboundesp12345密鑰不般配造成沒法通信問題描繪在RTA和RTB之間成立IPSec地道，保護PCA和PCB之間的通信。采納ESP安全協(xié)議，保證數(shù)據(jù)的完好性、機密性。249第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除SPI=12345SPI=12345Protocal=espProtocal=espIPSecTunnelE1/0S0/0S0/0E1/0InternetPCARTARTBPCB圖6-7手工配置安全策略保護數(shù)據(jù)問題以下：從主機上履行ping，發(fā)現(xiàn)不通。dispaly信息或debugging信息顯示在RTA和RTB上使用displaycurrent-configuration命令，顯示以下：[RTA]discur??acl3000match-orderautorule0permitipsourcedestination#ipsecproposalproposal1#ipsecpolicypolicy110manualsecurityacl3000proposalproposal1tunnellocaltunnelremotesaspiinboundesp34567saencrytion-hexinboundespsaauthentication-hexinboundesp250第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除saspioutboundesp12345saencrytion-hexoutboundespsaauthentication-hexoutboundesp??[RTB]discur??acl3000match-orderautorule0permitipsourcedestination55#ipsecproposalproposal1#ipsecpolicypolicy110manualsecurityacl3000proposalproposal1tunnellocaltunnelremotesaspiinboundesp12345saencrytion-hexinboundespsaauthentication-hexinboundespsaspioutboundesp34567saencrytion-hexoutboundespsaauthentication-hexoutboundesp#??在RTA和RTB上使用debuggingipsecpacket和debuggingipsecmisc命令翻開調(diào)試開關(guān)。在主機上再次履行ping，兩個路由器上輸出的調(diào)試信息以下：[RTA]info-centerconsoledebugging[RTA]debuggingipsecpacket251第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除[RTA]debuggingipsecmiscSendIPSecPacket#FromtoTunnelMode.AddingouterIPheadersucceed#SPI:12345(0x00003039)SrcDstNewESP(RFC2406)EncAlg:DESAuthAlg:HMAC-MD5-96AuthenticationFinished#(NewESP:RFC2406)EncryptionFinished#(NewESP:RFC2406)SequenceNumber:5NowsendittoIPoutputprocess...[RTB]info-centerconsoledebugging[RTB]debuggingipsecpacket[RTB]debuggingipsecmiscReceivedIPSec(ESP)Packet#SPI:12345(0x00003039)fromtoNewESP(RFC2406)EncAlg:DES;AuthAlg:HMAC-MD5-96;AuthenticationFailed#ESP_New_Input( ):authenticationfailedforpacketfromto3.1,spi00003039DecryptionFailed#esp_input( ):processingfailedforESPpacketfromto,spi00003039原由剖析從上邊的信息可看出，雙方采納的安全協(xié)議、算法和SPI都般配。RTB的Inbound辦理過程中解密失敗，造成不可以通信。檢查RTB的Inbound加密算法使用的密鑰，為，而RTA的Outbound辦理中加密算法使用的密鑰252第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除倒是，因為密鑰不一樣，造成沒法解密，通信失敗。4.辦理過程解決方法是改正RTA的Outbound方向的加密算法密鑰：[RTA]ipsecpolicypolicy110manual[RTA-ipsec-policy-policy1-10]saencrytion-hexoutboundesp兩頭ACL不般配致使階段2磋商失敗1.問題描繪在RTA和RTB之間成立IPSec地道，保護PCA和PCB之間的通信。采納ESP安全協(xié)議，保證數(shù)據(jù)的完好性、機密性。并采納動向的IKE協(xié)議進行IPSec安全結(jié)盟的磋商。RTB的Ethernet1/0口連結(jié)子網(wǎng)，Serial0/0連結(jié)Internet。253第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除SPI=12345SPI=12345Protocal=espProtocal=espIPSecTunnelE1/0S0/0S0/0E1/0InternetPCARTARTBPCB圖6-8磋商方式創(chuàng)立SA保護數(shù)據(jù)問題以下：從主機上履行ping，發(fā)現(xiàn)不通。在RTA和RTB上查察安全結(jié)盟的信息，發(fā)現(xiàn)階段1磋商成功了，而階段2沒有磋商起來。display信息或debugging信息顯示在RTA和RTB上使用displaycurrent-configuration命令，顯示以下：[RTA]displaycurrent-configuration??.ikepeerpeerpre-shared-keyabcderemote-address#ipsecproposalproposal2#ipsecpolicypolicy210isakmp254第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除securityacl3000ike-peerpeerproposalproposal2#ikeproposal2#??interfaceEthernet1/0ipaddressripversion2multicast#interfaceSerial0/0clockDTECLK1link-protocolpppipaddressripversion2multicastipsecpolicypolicy2#??ripundosummarynetworkallacl3000match-orderautorule0permitipsourcedestination??[RTB-Serial0]displaycurrent??#ikepeerpeerpre-shared-keyabcde255第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除remote-addressipsecproposalproposal2#ipsecpolicypolicy210isakmpsecurityacl3000ike-peerpeerproposalproposal2#ikeproposal2#??interfaceEthernet1/0ipaddressripversion2multicast#interfaceSerial0/0clockDTECLK1link-protocolpppipaddressripversion2multicastipsecpolicypolicy2#??ripundosummarynetworkall#acl3000match-orderautorule0permitipsourcedestination??.在RTA和RTB上使用displayikesa命令，顯示以下：[RTA]displayikesaConn-IDRemoteFlagPhaseDoi15RD|ST1IPSEC16<unnamed><unflaged>2IPSEC256第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除FlagmeaningRD--READYST--STAYALIVERL--REPLACEDFD--FADINGTO--TIMEOUT[RTB]displayikesaConn-IDRemoteFlagPhaseDoi15RD1IPSECFlagmeaningRD--READYST--STAYALIVERL--REPLACEDFD--FADINGTO--TIMEOUT在RTA和RTB上使用debuggingipsecpacket和debuggingikeerror命令翻開調(diào)試開關(guān)。在主機上再次履行ping，兩個路由器上輸出的調(diào)試信息以下：[RTA]debuggingipsecpacket[RTA]debuggingikeerrorIPSecdroppedpacket#NotifyIKEtonegotiateSAformap:policy2-10gotNOTIFYoftypeINVALID_ID_INFORMATION[RTB]debuggingipsecpacket[RTB]debuggingikeerrorpf_key_v2_cryptomap_get:failedvalidate_prop:noipsecpolicyfounddroppedmessagefromduetonotificationtypeINVALID_ID_INFORMATIONmessage_check_duplicate:droppingdup原由剖析檢查安全策略應用的接口，應用的接口是要保護的數(shù)據(jù)流出門的接口，完好正確。那么很可能是安全策略中的某些定義錯257第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除誤。依據(jù)安全策略的三個因素：What、Where、How進行檢查。在RTA中要保護的數(shù)據(jù)流是～之間的IP數(shù)據(jù)，是一個子網(wǎng)；而在RTB上定義的要保護的數(shù)據(jù)是～兩個主機之間的數(shù)據(jù)。明顯二者之間不可以完好般配。當RTB接收到RTA的安全策略后，因為其定義的數(shù)據(jù)流比RTB的要大，會造成部分數(shù)據(jù)流不般配。所以安全策略不般配。辦理過程將RTB的數(shù)據(jù)流改為以下形式即可通信。[RTB]acl3000match-orderauto[RTB-acl-3000]rule0permitipsourcedestination258第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除兩頭pre-shared不一致致使階段1的SA磋商失敗問題描繪在RTA和RTB之間成立IPSec地道，保護PCA和PCB之間的通信。采納ESP安全協(xié)議，保證數(shù)據(jù)的完好性、機密性。SPI=12345SPI=12345Protocal=espProtocal=espIPSecTunnelE1/0S0/0S0/0E1/0InternetPCARTARTBPCB圖6-9磋商方式創(chuàng)立SA保護數(shù)據(jù)問題以下：從主機上履行ping，發(fā)現(xiàn)不通。display信息或debugging信息顯示在RTA和RTB上使用displaycurrent-configuration命令，顯示以下：[RTA]displaycurrent-configuration??.#ikepeerpeer259第6章安全VPN及撥號業(yè)務故網(wǎng)絡故障診療與清除障清除pre-shared-keyabcderemote-addressipsecproposalproposal2#ipsecpolicypolicy210isakmpsecurityacl3000ike-peerpeerproposalproposal2#ikeproposal2#??interfaceEthernet1/0ipaddressripversion2multicast#interfaceSerial0/0clockDTECLK1link-protocolpppipaddressripversion2multicastipsecpolicypolicy2#??ripundosummarynetworkall??#acl3000match-orderautorule0permitipsource