Сообщения без ответов | Активные темы Текущее время: 29 янв 2020, 18:50



Ответить на тему  [ Сообщений: 5 ] 
Задачка dmvpn+EIGRP+IPsec + 2 isp 
Автор Сообщение

Зарегистрирован: 15 июл 2017, 21:08
Сообщения: 69
Всех приветствую.
Требуется помощь, собираю тестовый стенд для реализации схемы dmvpn+EIGRP+IPsec + 2 isp ЦО---Филиалы.
На hub
Router1#sh run
Building configuration...

Current configuration : 2747 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Router1
!
boot-start-marker
boot-end-marker
!

!
aaa new-model
!
!
aaa authentication login default local
!
aaa session-id common
!
resource policy
!
ip subnet-zero
!
!
ip cef
!
!
no ip domain lookup
ip domain name
ip ssh time-out 60
ip ssh logging events
!
!
!

!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
!
crypto isakmp policy 20
authentication pre-share
crypto isakmp key isakmpkey address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set TUNNEL_SET esp-3des esp-md5-hmac
crypto ipsec transform-set DMVPN-TR esp-des
mode transport
!
crypto ipsec profile DMVPN
set transform-set DMVPN-TR
!
!
!
!
interface Tunnel0
description -=DMVPN_Primary_hub=-
bandwidth 10000
ip address 192.168.8.1 255.255.255.0
no ip redirects
ip mtu 1400
ip hold-time eigrp 1 35
no ip next-hop-self eigrp 1
ip nhrp authentication key
ip nhrp map multicast dynamic
ip nhrp network-id 1
ip tcp adjust-mss 1300
no ip split-horizon eigrp 1
load-interval 30
keepalive 3 10
tunnel source 10.1.99.50
tunnel mode gre multipoint
tunnel protection ipsec profile DMVPN
!
interface Tunnel1
ip address 192.168.7.1 255.255.255.0
shutdown
keepalive 10 3
tunnel source 10.1.98.50
tunnel destination 10.1.96.50
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.10
description Managment
encapsulation dot1Q 10
ip address 10.1.0.17 255.255.255.0
no snmp trap link-status
!
interface FastEthernet0/0.77
description -=Lan=-
encapsulation dot1Q 77
ip address 10.1.77.50 255.255.255.0
no snmp trap link-status
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface FastEthernet0/1.998
description -=ISP2=-
encapsulation dot1Q 998
ip address 10.1.98.50 255.255.255.0
shutdown
no snmp trap link-status
!
interface FastEthernet0/1.999
description -=ISP1=-
encapsulation dot1Q 999
ip address 10.1.99.50 255.255.255.0
no snmp trap link-status
!
router eigrp 1
network 10.1.76.0 0.0.0.255
network 10.1.77.0 0.0.0.255
network 10.1.78.0 0.0.0.255
network 192.168.8.0
no auto-summary
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.99.254
!
no ip http server
no ip http secure-server
!
ip access-list extended ACL_NAT
permit ip any any
permit ip any 10.1.0.0 0.0.0.255
!

на spoke

Router2#sh run
Building configuration...

Current configuration : 2619 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router2
!
boot-start-marker
boot-end-marker
!
no logging console

aaa new-model
!
!
!
aaa session-id common
!
resource policy
!
ip subnet-zero
!
!
ip cef
!
!
no ip domain lookup
ip domain name
!
!
!
!

!
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
!
crypto isakmp policy 20
authentication pre-share
crypto isakmp key isakmpkey address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set TUNNEL_SET esp-3des esp-md5-hmac
crypto ipsec transform-set DMVPN-TR esp-des
mode transport
!
crypto ipsec profile DMVPN
set transform-set DMVPN-TR
!
!
!
!
interface Tunnel0
description DMVPN_SPOKE_1
bandwidth 10000
ip address 192.168.8.2 255.255.255.0
no ip redirects
ip mtu 1400
ip hold-time eigrp 1 35
ip nhrp authentication key
ip nhrp map 192.168.8.1 10.1.99.50
ip nhrp map multicast 10.1.99.50
ip nhrp network-id 1
ip nhrp nhs 192.168.8.1
ip nhrp registration no-unique
ip tcp adjust-mss 1300
load-interval 30
delay 100000
keepalive 3 10
tunnel source 10.1.95.50
tunnel mode gre multipoint
tunnel protection ipsec profile DMVPN
!
interface Tunnel1
ip address 192.168.7.2 255.255.255.0
shutdown
tunnel source 10.1.96.50
tunnel destination 10.1.98.50
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.10
description managment
encapsulation dot1Q 10
ip address 10.1.0.18 255.255.255.0
no snmp trap link-status
!
interface FastEthernet0/0.76
description -=Lan=-
encapsulation dot1Q 76
ip address 10.1.76.50 255.255.255.0
no snmp trap link-status
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface FastEthernet0/1.950
description -=ISP1=-
encapsulation dot1Q 950
ip address 10.1.95.50 255.255.255.0
no snmp trap link-status
!
interface FastEthernet0/1.951
description -=ISP2=-
encapsulation dot1Q 951
ip address 10.1.96.50 255.255.255.0
shutdown
no snmp trap link-status
!
router eigrp 1
network 10.1.76.0 0.0.0.255
network 10.1.77.0 0.0.0.255
network 10.1.78.0 0.0.0.255
network 192.168.8.0
no auto-summary
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.95.254
!
ip http server
no ip http secure-server
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
session-timeout 300
exec-timeout 300 0
privilege level 15
login authentication local
transport input ssh
!
scheduler allocate 20000 1000
!
end

Нужно , чтобы 2 ISP в ЦО и в филиалах работали одновременно, следовательно я так понимаю надо поднимать VRF , и там и там.... как это реализовать ума не приложу.... требуется подсказка.... чтобы связка заработала.


18 дек 2019, 16:09
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 87
Вот, как вариант http://security-corp.org/administration ... cisco.html
Плюс, тут же я отличную статью видел, там вообще все возможные варианты разжеваны.


19 дек 2019, 11:26
Профиль

Зарегистрирован: 15 июл 2017, 21:08
Сообщения: 69
Maxische писал(а):
Вот, как вариант http://security-corp.org/administration ... cisco.html
Плюс, тут же я отличную статью видел, там вообще все возможные варианты разжеваны.

Да большое , спс за ссылку... видел читал... но там используется NAT, нам бы хотелось бы использовать схему связку DMvpn+Eigrp+IPsec


19 дек 2019, 15:37
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 1996
Откуда: Волгоград
phant писал(а):
Maxische писал(а):
Вот, как вариант http://security-corp.org/administration ... cisco.html
Плюс, тут же я отличную статью видел, там вообще все возможные варианты разжеваны.

Да большое , спс за ссылку... видел читал... но там используется NAT, нам бы хотелось бы использовать схему связку DMvpn+Eigrp+IPsec


личку смотрите


19 дек 2019, 15:38
Профиль ICQ

Зарегистрирован: 15 июл 2017, 21:08
Сообщения: 69
_2e_ писал(а):
phant писал(а):
Maxische писал(а):
Вот, как вариант http://security-corp.org/administration ... cisco.html
Плюс, тут же я отличную статью видел, там вообще все возможные варианты разжеваны.

Да большое , спс за ссылку... видел читал... но там используется NAT, нам бы хотелось бы использовать схему связку DMvpn+Eigrp+IPsec


личку смотрите

отписался в ТГ и в ВА


19 дек 2019, 16:12
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 5 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Bessmertniy и гости: 16


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB