отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Настройка VPN

Здравстуйте.

В ЦО стоит 4500 с белым ip и поддерживает vpn.  На удаленном офисе стоит 2911(белый ip, nat в инет для пользователей, security лицензии нет)  + 3560, которая может держать vpn, но не держит nat, поэтому ее вперед поставить не получается.

Вопрос: можно ли настроить vpn в этом зоопарке?

Теги (1)
8 ОТВЕТ.

> В ЦО стоит 4500 с белым ip

> В ЦО стоит 4500 с белым ip и поддерживает vpn

Вы уверены, что поддерживает? Он с AGM?

 

> На удаленном офисе стоит 2911(белый ip, nat в инет для пользователей, security лицензии нет)

Security лицензия там вида RTU. Это значит, что вы можете активировать ее, в течение 60 дней пользоваться функционалом, и по прошествии этих 60-и дней, если не активируете купленный PAK или не отключите функционал, у вас начнут проявляться кошмарные муки совести, вы потеряете аппетит и будете плохо спать, осознавая, что вы обманываете Cisco. В принципе, ничего хуже описанного не произойдет.

 

+ 3560, которая может держать vpn

Что это за волшебная коробка? Они точно так могут? Там (если мы говорим про Catalyst) есть GRE, но включать его нельзя категорически, а про существование IPSec он вроде не знает.

 

Если шифрование не принципиально, то можно просто поднять GRE между 4500 и 2911.

New Member

4500 и 3560 поддерживают vpn

4500 и 3560 поддерживают vpn (выводы одинаковые)

c4510_2(config)#crypto ?
  call         Configure Crypto Call Admission Control
  dynamic-map  Specify a dynamic crypto map template
  engine       Enter a crypto engine configurable menu
  gdoi         Configure GDOI policy
  identity     Enter a crypto identity list
  ikev2        Configure IKEv2 Options
  ipsec        Configure IPSEC policy
  isakmp       Configure ISAKMP policy
  key          Long term key operations
  keyring      Key ring commands
  logging      logging messages
  map          Enter a crypto map
  mib          Configure Crypto-related MIB Parameters
  pki          Public Key components
  xauth        X-Auth parameters

А вот 2911 нет

c2911_2corp(config)#crypto ?
  key  Long term key operations
  pki  Public Key components

На счет 2911, я читал это. И там написано

Each device ships with Universal image. IPBase, DATA, UC (Unified Communications) and SEC (Security) technology packages are enabled in the universal image via Cisco Software Activation licensing keys. Each licensing Key is unique to a particular device and is obtained from Cisco by providing the product ID and serial number of the router and a Product Activation Key (PAK), which is provided by Cisco at time of Software purchase.

Temporary Licenses

When the 60-day period expires, the device will continue to operate normally until reloaded.

И если честно то вообще не нашел как активируются временные лицензии(но это все равно не решение).

Шифрование принципиально.

Сечас еще пытаюсь собрать немного другую схему 3560-2911 - 2911-3560. Между 2911 GRE, а потом уже между 3560 VNP. Но как-то странно работает, VNP вроде поднялся

с3560corp_sw#sh crypto sess
Crypto session current status

Interface: GigabitEthernet0/13
Session status: UP-ACTIVE
Peer: 192.168.253.13 port 500

Но трафик не ходит. Если не получится донастроить наверно создам отдельную тему.

 

Феноменально. Чем люди в BU

Феноменально. Чем люди в BU думали?

Вы должны понимать, что даже если IPSec между ними заработает, речь идет о сотнях килобит или единицах мегабит трафика, при очень сильно загруженном процессоре, что на свитче способно привести к крайне печальным последствиям (например - начнет барахлить STP). То, что оно есть в cli, не значит, что этим надо пользоваться. Сколько людей наступало на грабли, поднимая GRE на 3560/3750, не умеющих делать это аппаратно, а тут не только инкапсуляция, но и шифрование на процессоре, который намного слабее любого современного и не очень мобильника и вообще не предназначен для этого.

 

Покажите show crypto ipsec sa, даже интересно стало.

 

По лицензиям - http://www.cisco.com/c/en/us/td/docs/routers/access/sw_activation/SA_on_ISR.html#wp1155619

Evaluation Right to Use licenses automatically become Right to Use licenses after the initial evaluation period

Ни в коем случае не продолжайте пользоваться этим по истечении 60-и дней, потому что тогда вы нарушите лицензионное соглашение... Однако, технические меры по ограничению функционала применены не будут, после перезагрузки хоть через год весь Security функционал никуда не денется.

И я даже не знаю, что меня больше отвращает - нарушение лицензионного соглашения, или IPSec на каталисте. Наверное, все-таки последнее.

New Member

с3560corp_sw#sh crypto ipsec

с3560corp_sw#sh crypto ipsec sa

interface: GigabitEthernet0/13
    Crypto map tag: VPN_NAB, local addr 192.168.253.9

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (10.20.20.0/255.255.255.0/0/0)
   current_peer 192.168.253.13 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 32, #pkts encrypt: 32, #pkts digest: 32
    #pkts decaps: 54, #pkts decrypt: 54, #pkts verify: 54
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 192.168.253.9, remote crypto endpt.: 192.168.253.13
     path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/13
     current outbound spi: 0x0(0)
     PFS (Y/N): N, DH group: none

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

Вообще 3560 не заняты ни чем, они как раз и найдены, просто как что-то поддерживающее vpn.

На счет лицензий - потестирую.

 

Туннель действительно

Туннель действительно поднимался, даже пакеты проходили в одну сторону и как минимум уходили в другую.

 

Но все-таки напомню, что 3560 - исключительно слабая железка. Не надо думать, что если она умеет маршрутизировать гигабиты трафика - с IPSec она справится нормально, те гигабиты проходят по ASICам, а вся цепочка IPSec от инкапсуляции до шифрования реализована программно на слабом процессоре.

 

Но было бы интересно потестировать... Как я понимаю, сейчас железо в лабе, судя по адресам. Можете описать топологию, показать конфигурацию и метод проверки, а также show crypto ipsec sa с обеих сторон в момент передачи трафика? Если проверяете пингами между цискиных устройств, то включите debug ip icmp.

New Member

Вообще, это не лаба. Реально

Вообще, это не лаба. Реально надо было на чем-то vpn собрать.

Собрал на 2911 с тестовыми лицензиями все заработало без проблем. Может и правда на 3560 vpn не работает или работает очень странно.

На катках уже все разобрал, но если интересно, основной прикол был с криптомапом, с чем я не смог разобраться: схема линейно выглядит так:

10.10.10.0/24 -(с3560corp_sw)- 192.168.253.8/30 -(R2911_2corp)- GRE 192.168.253.4/30 -(R2911_3nab)- 192.168.253.12/30 -(с3560_nab)- 10.20.20.0/24

Так 3560 друг друга пингуют нормально (ping 10.20.20.133 source 10.10.10.18). Видно что кол-во шифрованных пакетов растет, в аксес листе криптомапа растет счетчик.

Но если я пытаюсь пингануть с машины из левой сети машину из правой то ничего.

А судя по tracert'у, на исходящем интерфейсе 3560 криптомап просто не срабатывает, пакет просто роутится, и счетсик аксес-листа не меняется. Хотя естетственно адрес под аксес-лист попадает.

 

А на счет 2911 я так до конца и не понял. Два документа - один противоречит другому. Ваш вроде новее, поэтому и решил на него ориентироваться. Я работаю в корпорации и лицензии купить не такая проблема, как подписать пять милиардов бумажек у людей которые абсолютно не понимаю под чем подписываются и зачем это покупается, и потратить на это как минимум полгода (это о наболевшем))).


 

> Но если я пытаюсь пингануть

> Но если я пытаюсь пингануть с машины из левой сети машину из правой то ничего.

А может, IPSec там для только для control plane трафика. Я, честно говоря, не нашел деталей по поводу того, откуда он вообще там взялся.

 

Я работаю в корпорации и лицензии купить не такая проблема, как подписать пять милиардов бумажек у людей которые абсолютно не понимаю под чем подписываются и зачем это покупается, и потратить на это как минимум полгода

Как все знакомо...

Можно простимулировать словами "нет лицензии - нет связи между офисами". Когда бизнес заинтересован - такие вопросы решаются быстро, особенно учитывая весьма копеечную цену вопроса.

А вопрос RTU лицензий в документации действительно раскрыт плохо. Не могут же они написать открытым текстом "всё будет работать сколько угодно без всяких ограничений, но пожалуйста, не забудьте купить лицензию" :) 

New Member

Если в своей организации еще

Если в своей организации еще кому-то что-то можно доказать, объяснить на пальцах, то есть еще и согласующие в Москве, для которых работает там что-то на переферии или нет - до лампочки. Ох...

230
Просмотры
5
Полезный материал
8
Ответы