关于vpn的解释和分析 _vpn

野蛮模式，加名称验证，分部ike 要写对端名字加对端 ip
野蛮模式中必须非固定放先发起ping触发
由于不知道对端ip公网ip 所以在建立ipsec时的acl选择的是loopback0的地址实际上loopback0充当了外网地址
（gre的源和目的，就是ipsec的acl的地址）
ike提议选择默认 proposa dis ike pro
ipsec提议 dis ipsec pro
ipsec模板不需要写 acl
1、保证公网互通 2、通过ipsec保证环回口（隧道）互通 3、再把环回口（acl抓取的ip）作为tunnel的源和目的
vpn隧道跑rip
让tunnel口和业务口参与rip
公网口和loopback口不参与rip 如果acl写的是公网地址，用公网地址建立ipsec 那么就是公网地址不参与目前loopback口就类似公网口作用
gre over ipsec vpn隧道建立完全看ike的协商与对端地址建立隧道，隧道数据流依靠一条acl源地址目的地址（可以与ike的对端地址相同，但是分支没地址），业务流依靠这条acl的地址传输，acl的地址作为三层互联网端
当tunnel参与rip时，rip下的网段自然就已经发布到了隧道中
【关于vpn的解释和分析】**********************************************************************************************
ike remote-address 必须是对端公网地址*ACL指谁，谁就是隧道的通信地址，其他地址靠这个地址走隧道*
**********************************************************************************************
主模式不能用用户名验证
tunnel链路up/down 建立tunnel接口之前链接通过默认路由指向公网地址从而建立tunnel链接，
tunnel接口联通后获得动态路由，其优先级高于默认路由，从路由指向tunnel链接，造成tunnel接口down，
此时再次回到默认路由。因此造成tunnel接口的反复up/down
排错
阶段一有，阶段二没有
1、acl没有互为镜像，野蛮模式中，非固定方没应用acl（固定方不需要acl）
2、ipsec proposal 封装模式不正确（传输和隧道模式）
esp、ah、esp-ah 不正确
阶段一无，阶段二有
1、nat穿越ipsec propoasl用了传输模式（穿越必须是隧道模式）
2、nat高于ipsec 优先转换