отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Не работает Ipsec на ASR9006

 Добрый день, коллеги

Пытаюсь поднять Ipsec на ASR9006, но пока ничего не получается. В чем может быть проблема. Вот конфиг:

vrf vrf_client
address-family ipv4 unicast
import route-target
444:444
!
export route-target
444:444
!
!
!
ipv4 access-list acl_client
10 permit ipv4 x.x.3.10/31 x.x.3.11/31
!
interface Loopback8
description client_ipsec_tunnel_source
ipv4 address x.x.129.228 255.255.255.255
!
interface tunnel-ipsec8
vrf vrf_client
ipv4 address x.x.3.10 255.255.255.254
profile prof_client
tunnel source Loopback8
tunnel destination y.y.192.38
!
crypto isakmp peer address y.y.192.38 vrf default
description client_site
!
crypto isakmp
crypto isakmp policy 1
authentication pre-share
encryption aes
lifetime 3600
!
crypto isakmp policy 2
authentication pre-share
hash md5
encryption aes
lifetime 3600
!
crypto keyring keyring_client vrf default
pre-shared-key address y.y.192.38 255.255.255.255 key secret_key
!
crypto logging tunnel-status
crypto isakmp profile isa_prof_client
keyring keyring_client
match identity address y.y.192.38/32 vrf default
!
!
crypto isakmp profile local isa_prof_client_local
match identity address y.y.192.38/32 vrf default
set interface tunnel-ipsec8
!
!
crypto isakmp keepalive 3600 2
crypto ipsec transform-set ts_client
transform esp-aes
mode tunnel
!
crypto ipsec profile prof_client
description ipsec_profile_for_client
set pfs group1
match acl_client transform-set ts_client
!
crypto ipsec security-association lifetime seconds 3600

Я уже начал думать, поддерживается ли Ipsec на asr?

  • Маршрутизация и коммутация (Routing and Switching)
4 ОТВЕТ.
Bronze

Добрый день.

Добрый день.

Немного смущает, что туннельный интерфейс у Вас в отдельном VRF, а ipsec вы пытаетесь строить через vrf default. Возможно в этом кроется основная проблема.

Так же можно вывод команд:

deb cry isakmp
deb cry ipsec

?

С уважением, Александр.

New Member

Здравствуйте

Здравствуйте

Спасибо за ответ.

Туннельный интерфейс пробовал вытащить в global - ничего не меняется.

По командам дебаг никакого вывода. 

Я уж начал думать может он не умеет Ipsec делать какого нибудь сервисного модуля.

Софт стоит такой: asr9k-os-mbi-4.3.1/0x100305/mbiasr9k-rsp3.vm

Bronze

Ок, тогда прежде, чем

Ок, тогда прежде, чем "перекапывать" Вашу конфигурацию, можно три вопроса?

1. Нормально ли поднимается GRE туннель? Т.е. доступна ли вторая сторона по GRE туннелю вне IPsec?

2. На той стороне подключение ожидается чистым IPSec посе GRE туннеля?

3. Можете выложить дебаг по 2-ум командам выше за некоторый промежуток времени (нужно генерировать трафик, который должен "ходить" по IPSec. Хотя match на тип трафика я не вижу)?

New Member

Разбираться с ASR не было

Разбираться с ASR не было времени, поэту поднял все на ASA. Вам спасибо большое за отзывчивость и ответы.

9
Просмотры
0
Полезный материал
4
Ответы