форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"iproute"	+/–
Сообщение от ss2707 (ok) on 08-Июл-10, 12:27
уважаемые гуру, помогите пожалуйста понять внешний ip 212.0.0.1 внутреняя сетка 10.0.0.0/24 удаленный внешний ip 83.0.0.1 удаленная внутреняя сетка 10.0.1.0/24 --------- ! interface Tunnel6 description tunnel MSK-TEST no ip address tunnel source FastEthernet0/1 tunnel destination 83.0.0.1 crypto map MSK-TEST ! ip route 10.0.1.0 255.255.255.0 83.0.0.1 ---------- sh int tun6 Tunnel6 is up, line protocol is up   Hardware is Tunnel   Description: tunnel MSK-TEST   MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,      reliability 255/255, txload 1/255, rxload 1/255   Encapsulation TUNNEL, loopback not set   Keepalive not set   Tunnel source 212.0.0.1 (FastEthernet0/1), destination 83.0.0.1   Tunnel protocol/transport GRE/IP     Key disabled, sequencing disabled     Checksumming of packets disabled   Tunnel TTL 255   Fast tunneling enabled   Tunnel transmit bandwidth 8000 (kbps)   Tunnel receive bandwidth 8000 (kbps)   Last input never, output never, output hang never   Last clearing of "show interface" counters never   Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0   Queueing strategy: fifo   Output queue: 0/0 (size/max)   5 minute input rate 0 bits/sec, 0 packets/sec   5 minute output rate 0 bits/sec, 0 packets/sec      0 packets input, 0 bytes, 0 no buffer      Received 0 broadcasts, 0 runts, 0 giants, 0 throttles      0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort      0 packets output, 0 bytes, 0 underruns      0 output errors, 0 collisions, 0 interface resets      0 output buffer failures, 0 output buffers swapped out sh ip route такого маршрута нет ----------------- что я должен написать, чтобы маршрут появляся в таблице?
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "iproute"	+/–
Сообщение от sigbat on 08-Июл-10, 13:06
насколько я понимаю на tunnel интерфейсе должен быть собственная подсетка поскольку это третий уровень и пакеты на интерфейс должны попадать через таблицу маршртищацци ну и далее вы просто пишете роут через внутренний ип адрес удаленного туннеля кроме того на туннель не вешают крипто мап. Там есть tunnel proteced profile роут у вас не появляется видимо потому что шлюз напрямую не доступен
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "iproute"	+/–
	Сообщение от ss2707 (ok) on 08-Июл-10, 14:00
	>насколько я понимаю на tunnel интерфейсе должен быть собственная подсетка >поскольку это третий уровень и пакеты на интерфейс должны попадать через таблицу >маршртищацци >ну и далее вы просто пишете роут через внутренний ип адрес удаленного >туннеля >кроме того на туннель не вешают крипто мап. Там есть tunnel proteced >profile >роут у вас не появляется видимо потому что шлюз напрямую не доступен > хорошо, тогда как лучше сделать 20 ipsec туннелей на одной cisco, при этом имея один внешний ip и 20 isakmp keys ?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "iproute"	+/–
	Сообщение от sigbat on 08-Июл-10, 16:13
	эээээ можно конечно и 20 ключей но тгда лучше сертификаты читайте DMVPN или DVTI
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "iproute"	+/–
	Сообщение от ss2707 (ok) on 08-Июл-10, 19:04
	>можно конечно и 20 ключей но тгда лучше сертификаты проблемы с генерацией ключей нет (openssl rand 40 -hex), точно также нет проблем с созданием crypto map (даже с ключами) ---------- crypto map sec_b 10 ipsec-isakmp         match address 101         set peer 192.168.1.2         set transform-set sec_b         set session-key inbound esp 256 cipher 12345678901234567890123456789012         set session-key inbound ah 256 1234567890123456789012345678901234567890         set session-key outbound esp 257 cipher 12345678901234567890123456789012         set session-key outbound ah 257 1234567890123456789012345678901234567890 ---------- я не понимаю куда их (crypto map) привязать (к одному interface можно привязать только один crypto map). в примерах типа http://undeadly.org/cgi?action=article&sid=20080711190301 или http://www.cisco.com/en/US/tech/tk827/tk369/technologies_con... показано, как формировать один vpn тунель, а мне их поболее надо.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "iproute"	+/–
	Сообщение от j_vw on 08-Июл-10, 19:45
	>я не понимаю куда их (crypto map) привязать (к одному interface можно >привязать только один crypto map). crypto map sec_b 10 ipsec-isakmp X X   X crypto map sec_b 15 ipsec-isakmp y y   y crypto map sec_b 20 ipsec-isakmp z z   z Крипто-меп один - "sec_b" Но записей - сколько угодно.... Только, если есть динамические, пишите с последними номерами...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "iproute"	+/–
	Сообщение от j_vw on 08-Июл-10, 19:39
	Кодовая фраза кеуring Вот так работает: crypto keyring TUN1   pre-shared-key address VASYA key VASYA_KEY crypto keyring TUN2   pre-shared-key address PETYA key PETYA_KEY    crypto isakmp profile TUN1    keyring TUN1    match identity address VASYA 255.255.255.255 crypto isakmp profile TUN2    keyring TUN2    match identity address PETYA 255.255.255.255      crypto ipsec profile TUN1 set transform-set SET set isakmp-profile TUN1 ! crypto ipsec profile TUN2 set transform-set SET set isakmp-profile TUN2 Мне кажется, даже, упростить можно....
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема