отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Пропуск ESP/AH трафика через свитчевую плату 7606

Проблема: через свитчевую плату 7606 не проходит ESP/AH – трафик, если он  терминируется на интерфейсе с policy, например:

interface  GigabitEthernet1/1  switchport

  switchport trunk encapsulation  dot1q

  switchport mode trunk

interface Vlan100

ip  vrf receive VRF_A

ip vrf receive VRF_B

ip address 10.0.0.1  255.255.255.0

ip policy route-map NAME

и проходит, если он  терминируется на интерфейсе, без policy:

interface  Vlan200

ip vrf forwarding VRF_A

ip address 10.0.1.1   255.255.255.248

Примечание: если в ACL для route-map NAME  прописать строчку permit esp, то счетчик не увеличивается, то есть пакеты не  матчатся.

>sh ver

Cisco IOS Software, c7600s3223_rp Software  (c7600s3223_rp-ADVENTERPRISEK9-M), Version 12.2(33)SRD7, RELEASE SOFTWARE  (fc1)

Встречался ли кто-нибудь с такой проблемой?

4 ОТВЕТ.

Re: Пропуск ESP/AH трафика через свитче

Сталкивался с аналогичной ситуацией, если не ошибаюсь, с SRD6. Но там ESP трафик переставал ходить, когда на интерфейсе включался netflow. Нужно посмотреть bug toolkit.

А как именно выглядит route-map?

New Member

Re: Пропуск ESP/AH трафика через свитче

Евгений, спасибо за отклик! Netflow не включен.
Вот конфига для route-map:
route-map NAME permit 10
match ip address ESP
set vrf corp

Extended IP access list ESP
10  permit ip x.x.x.x 0.0.0.7 10.0.0.0 0.255.255.255

Пропуск ESP/AH трафика через свитчеву

Похоже, netflow здесь непричем.

Неплохо было бы увидеть Вашу конфигурацию и понять изначальную задачу.

Вы хотите, чтобы connected маршрут для этого интерфейса присутствовал в двух VRF. В то же время исходящий ESP трафик нужно отправлять только в один из VRF?

New Member

Пропуск ESP/AH трафика через свитчеву

Изначальная задача такова:

По connected-сети с другого маршрутизатора LAN прилетают несколько сетей, и эти сети относятся к разным VRF.

Шифрованный трафик нужен только сетям из VRF_A.

Даже если мы разводим трафик по двум интерфейсам с vrf forwarding + policy (обязателен QoS), то шифрованный трафик не ходит...при этом туннель поднимается(то есть коннективити есть), но esp пакеты не проходят....

Снимаем policy - и все работает...

И что самое страшное...при захвате wireshark'ом шифрованные пакеты(когда трафик не ходит) есть...

В bug tool ответа я не нашел.

546
Просмотры
0
Полезный материал
4
Ответы
СоздатьДля создания публикации, пожалуйста в систему