|
|
|
|
Страница 1 из 1
|
[ Сообщений: 5 ] |
|
Проблема с маршрутизацией при связке ipsec + балансировка
Автор |
Сообщение |
bambu4a
Зарегистрирован: 17 июн 2009, 09:57 Сообщения: 94
|
Есть центральный маршрутизатор, на котором развёрнута балансировка каналов. Есть удалённые клиенты с конечным оборудованием D-Link, Ubiquiti.
Сейчас центральная сеть офиса построена на базе оборудования d-link. Адский ад, я Вам так скажу. Сейчас готовлю проект по переезду этого всего на оборудование от кошки.
Центральным маршрутизатором будет ASR1002-F, за ним пара WS-C3750X-48T-S + C3kX-Nm-10GE в качестве ядра системы. Проверенное решение, относительно не дорогое и рабочее. На следующем этапе докуплю пару 5555. Одну поставлю в разрыв между айсаром и 37-ми, вторую поставлю за 37-й, между ней и коммутаторами доступа. На ней будут пользовательские сети и листы доступа. Со временем переведу сеть на динамическую маршрутизацию (предполагаю, будет развёрнут OSPF). Клиентские сети буду постепенно перетаскивать на кошки и включать в общую сеть динамической маршрутизации с уходом от ike v1 на более защищённые протоколы.
Собственно к текущей проблеме.
Собран макет, на базе 1811. Настроен ip sla. Работает. Проблема с построением маршрутизации в ipsec туннеле. Сам туннель поднимается, а маршрутизации нет. Изначально строил связку cisco + dlink. Сегодня приволок вторую домашнюю кошку. Туннель строится между внешними интерфейсами маршрутизаторов.
Удалённая сеть fish#sh cry is sa IPv4 Crypto ISAKMP SA dst src state conn-id status ISP_1.174 CLIENT_ISP.228 QM_IDLE 2001 ACTIVE
Шлюз GATE#sh cry is sa IPv4 Crypto ISAKMP SA dst src state conn-id slot status ISP_1.174 D-link.214 QM_IDLE 2014 0 ACTIVE ISP_1.174 Cisco.228 QM_IDLE 2015 0 ACTIVE
Конфигурация шлюза crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key 6 PASSWORD address 0.0.0.0 0.0.0.0 no-xauth ! crypto ipsec transform-set D-Link esp-3des ! crypto map WWW 10 ipsec-isakmp set peer PEER_IP.214 set security-association lifetime seconds 28800 set transform-set D-Link set pfs group2 match address LOCAL_NET reverse-route ! ip ssh version 2 ! track 10 rtr 1 reachability ! track 20 rtr 2 reachability ! track 50 list boolean or object 10 object 20 delay down 10 up 5 ! interface FastEthernet0 description TN ip address ISP_1.174 255.255.255.252 ip access-group TN in ip access-group TN out ip nat outside crypto map WWW ! interface FastEthernet1 description CN ip address ISP_2.210 255.255.255.252 ip access-group CN in ip access-group CN out ip nat outside ! interface FastEthernet2 switchport mode trunk ! interface Vlan1 ip address 172.16.0.1 255.255.0.0 ip nat inside ip virtual-reassembly ! ip route 0.0.0.0 0.0.0.0 ISP_1.173 10 track 50 ip route 0.0.0.0 0.0.0.0 ISP_2.209 20 ! no ip http server no ip http secure-server ip nat translation timeout 120 ip nat translation tcp-timeout 3600 ip nat translation udp-timeout 120 ip nat translation finrst-timeout 10 ip nat translation syn-timeout 30 ip nat translation dns-timeout 30 ip nat inside source route-map city-net interface FastEthernet1 overload ip nat inside source route-map TN interface FastEthernet0 overload ! ip access-list extended CN permit ip any any ip access-list extended LOCAL_NET permit ip 172.16.0.0 0.0.255.255 192.168.7.0 0.0.0.255 deny ip any any ip access-list extended TN permit ip any any ip access-list extended nat deny ip 172.16.0.0 0.0.255.255 192.168.7.0 0.0.0.255 permit ip 172.16.0.0 0.0.255.255 any ! ip sla 1 icmp-echo 8.8.8.8 source-interface FastEthernet0 timeout 1500 threshold 1000 frequency 3 ip sla schedule 1 life forever start-time now ip sla 2 icmp-echo ISP_1.173 source-interface FastEthernet0 timeout 1500 threshold 1000 frequency 3 ip sla schedule 2 life forever start-time now ! route-map TN permit 10 match ip address nat match interface FastEthernet0 ! route-map city-net permit 20 match ip address nat match interface FastEthernet1 ! event manager applet TN_UP event track 50 state up action 001 cli command "enable" action 002 cli command "clear ip nat translation *" action 003 syslog msg "TN is UP" event manager applet TN_DOWN event track 50 state down action 001 cli command "enable" action 002 cli command "clear ip nat translation *" action 003 syslog msg "TN is DOWN"
Куда копать? Предполагаю, что нужно допиливать динамические роутемапы и клеить их к статическим. Если кто-нибудь уже сталкивался с подобными граблями - будьте любезны, окажите содействие.
|
15 июн 2018, 10:05 |
|
|
bambu4a
Зарегистрирован: 17 июн 2009, 09:57 Сообщения: 94
|
GATE#sh cry engine connections active Crypto Engine Connections
ID Interface Type Algorithm Encrypt Decrypt IP-Address 2014 Fa0 IKE MD5+3DES 0 0 ISP-1.174 2015 Fa0 IKE MD5+3DES 0 0 ISP_1.174
GATE# show crypto session Crypto session current status
Interface: FastEthernet0 Session status: UP-IDLE Peer: D-LINK.214 port 500 IKE SA: local GATE.174/500 remote D-LINK.214/500 Active IPSEC FLOW: deny ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0 Active SAs: 0, origin: crypto map IPSEC FLOW: permit ip 172.16.0.0/255.255.0.0 192.168.7.0/255.255.255.0 Active SAs: 0, origin: crypto map
Interface: FastEthernet0 Session status: UP-IDLE Peer: CISCO.228 port 500 IKE SA: local GATE174/500 remote CISCO.228/500 Active
|
15 июн 2018, 10:13 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
Как остановить кровь из глаз? Всё перемешал. Кошки. Клеить. Айсар.
|
15 июн 2018, 10:41 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
GRE внутри IPsec.
|
19 июн 2018, 14:43 |
|
|
bambu4a
Зарегистрирован: 17 июн 2009, 09:57 Сообщения: 94
|
Разобрался. не строилась вторая фаза. Вопрос закрыт.
Active SAs: 0, origin: crypto map
|
26 июн 2018, 10:40 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 5 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 74 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|
|