野蛮模式，加名称验证，分部ike 要写 对端名字 加 对端 ip

野蛮模式中必须非固定放先发起ping触发

由于不知道对端ip公网ip 所以在建立ipsec时的acl选择的是loopback0的地址 实际上loopback0充当了外网地址

（gre的源和目的，就是ipsec的acl的地址）

ike提议选择默认 proposa dis ike pro

ipsec提议 dis ipsec pro

ipsec模板 不需要写 acl

1、保证公网互通 2、通过ipsec保证环回口（隧道）互通 3、再把环回口（acl抓取的ip）作为tunnel的源和目的

vpn隧道跑rip

让tunnel口和业务口参与rip

公网口和loopback口不参与rip 如果acl写的是公网地址，用公网地址建立ipsec 那么就是公网地址不参与 目前loopback口就类似公网口作用

gre over ipsec vpn隧道建立完全看ike的协商与对端地址建立隧道，隧道数据流依靠一条acl源地址目的地址（可以与ike的对端地址相同，但是分支没地址），业务流依靠这条acl的地址传输，acl的地址作为三层互联网端

当tunnel参与rip时，rip下的网段 自然就已经发布到了隧道中

**********************************************************************************************

ike remote-address 必须是对端公网地址*ACL指谁，谁就是隧道的通信地址，其他地址靠这个地址走隧道*

**********************************************************************************************

主模式 不能用用户名验证

tunnel链路up/down 建立tunnel接口之前链接通过默认路由指向公网地址从而建立tunnel链接，

tunnel接口联通后获得动态路由，其优先级高于默认路由，从路由指向tunnel链接，造成tunnel接口down，

此时再次回到默认路由。因此造成tunnel接口的反复up/down

排错

阶段一有，阶段二没有

1、acl没有互为镜像，野蛮模式中，非固定方没应用acl（固定方不需要acl）

2、ipsec proposal 封装模式不正确（传输和隧道模式）

esp、ah、esp-ah 不正确

阶段一无，阶段二有

1、nat穿越ipsec propoasl用了传输模式（穿越必须是隧道模式）

2、nat高于ipsec 优先转换

像素化 Vpn

Vpn 的隧道

男子持杯和智能手机