отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Суммаризация адресов EIGRP и IPSec на ASA 5510

Добрый день.

На рисунке схема одной EIGRP AS. Между R1 и ASA - IPSec. ASA должна отправлять маршрутизатору R2 суммарные маршруты подсетей, которые находятся за маршрутизатором R1. Как только на интерфейсе ASA смотрящему на маршрутизатор R2 даётся команда summary-address, в таблице маршрутизации ASA появляется запись вида:

D 192.168.1.0 255.255.255.0 Null0

После чего IPSec между R1 и ASA падает для подсети 192.168.1.0 255.255.255.0, как я подозреваю, на Null0 просто не висит crypto map, можно ли её туда повесить или как решить такую проблему?

2 УТВЕРЖДЕН. РЕШЕН.

Утвержденные решения

Суммаризация адресов EIGRP и IPSec на ASA

Так вот в чем дело, путаете меня. Сначала у Вас:

D EX 192.168.1.0 255.255.255.252

           [170/28416] via 192.168.12.254, 17:09:56, ISP1-TO-R1 и т.д.

Затем:

D EX 192.168.1.0 255.255.255.0

           [170/28416] via 192.168.12.254, 19:30:44, ISP1-TO-R1

Тогда очевидно, что суммировать нужно с AD большим, чем 170:

Так:

interface Ethernet0/1.80

summary-address eigrp 1 192.168.1.0 255.255.255.0 171

Пожалуйста, отметьте мой пост как "Правильное решение", если оно Вам помогло.

Re: Суммаризация адресов EIGRP и IPSec на

У Вас же берется откуда-то summary. Он идет с .80 сабинтерфейса, у него AD 255. Если было бы AD >= 170 - У вас была бы ситуация, как описывалось изначально - трафик бы дропался в Null0.

21 ОТВЕТ.

Суммаризация адресов EIGRP и IPSec на ASA

Игорь, как обычно, без конфигурации ASA сказать проблематично в чем проблема.

Никакие crypto-map на Null0 вешать не надо.

New Member

Re: Суммаризация адресов EIGRP и IPSec на

Собственно часть конфига:

interface Ethernet0/1.80

vlan 80

nameif TO_R2

security-level 50

ip address 192.168.50.195 255.255.255.240

authentication key eigrp 1 ***** key-id 1

authentication mode eigrp 1 md5

!

interface Ethernet0/2

no nameif

no security-level

no ip address

!

interface Ethernet0/2.12

vlan 12

nameif ISP1-TO-R1

security-level 50

ip address 192.168.12.249 255.255.255.248

delay 10

authentication key eigrp 1 ***** key-id 0

authentication mode eigrp 1 md5

!

interface Ethernet0/2.25

vlan 25

nameif ISP2-TO-R1

security-level 50

ip address 192.168.12.241 255.255.255.248

delay 20

authentication key eigrp 1 ***** key-id 0

authentication mode eigrp 1 md5

!

<...>

!

router eigrp 1

no auto-summary

distribute-list EIGRP-TOR2 out interface TO_R2

distribute-list EIGRP-FROMR2 in interface TO_R2

distribute-list EIGRP-TOR1 out interface ISP1-TO-R1

distribute-list EIGRP-FROMR1 in interface ISP1-TO-R1

distribute-list EIGRP-TOR1 out interface ISP2-TO-R1

distribute-list EIGRP-FROMR1 in interface ISP2-TO-R1

network 192.168.12.241 255.255.255.255

network 192.168.12.249 255.255.255.255

network 192.168.50.195 255.255.255.255

passive-interface default

no passive-interface TO_R2

no passive-interface ISP1-TO-R1

no passive-interface ISP2-TO-R1

redistribute static

!

<..>

!

crypto ipsec transform-set COMPANY esp-aes-256 esp-sha-hmac

crypto ipsec security-association lifetime seconds 3600

crypto ipsec security-association lifetime kilobytes 4608000

crypto map CRYPTO-MAP-ISP1 1 match address CRYPTO-ISP

crypto map CRYPTO-MAP-ISP1 1 set peer 192.168.12.254

crypto map CRYPTO-MAP-ISP1 1 set transform-set COMPANY

crypto map CRYPTO-MAP-ISP1 interface ISP1-TO-R1

crypto map CRYPTO-MAP-ISP2 1 match address CRYPTO-ISP

crypto map CRYPTO-MAP-ISP2 1 set peer 192.168.12.246

crypto map CRYPTO-MAP-ISP2 1 set transform-set COMPANY

crypto map CRYPTO-MAP-ISP2 interface ISP2-TO-R1

crypto isakmp enable ISP1-TO-R1

crypto isakmp enable ISP2-TO-R1

crypto isakmp policy 10

authentication pre-share

encryption aes-256

hash sha

group 5

lifetime 86400

!

tunnel-group 192.168.12.254 type ipsec-l2l

tunnel-group 192.168.12.254 ipsec-attributes

pre-shared-key *****

tunnel-group 192.168.12.246 type ipsec-l2l

tunnel-group 192.168.12.246 ipsec-attributes

pre-shared-key *****


Как только на интерфейсе Ethernet0/1.80 вешается команда summary-address для подсетей (находящихся за R1, напр 192.168.1.0/32, 192.168.1.4/32 и т.п.), котрые нужно отправлять на R2 суммированные по 24 маске, в таблице маршрутизации ASA появляется запись вида:

D 192.168.1.0 255.255.255.0 Null0

ISAKMP создаётся, но связи между R1 и ASA из подсетей 192.168.1.0/24 нет. Убираю summary-address  с интерфейса, в таблице маршрутизации нормальные записи типа:

D EX 192.168.1.0 255.255.255.0

           [170/28416] via 192.168.12.254, 17:09:56, ISP1-TO-R1 и т.д.

И связь из подсетей 192.168.1.0/24 поднимается.

Суммаризация адресов EIGRP и IPSec на ASA

А что у Вас в CRYPTO-ISP?

New Member

Re: Суммаризация адресов EIGRP и IPSec на

Соответсвенно определены подсети за маршрутизатором R2, которые должны шифроваться при доступе к подсетям за маршрутизатором R1. Например:

access-list CRYPTO-ISP extended permit ip 192.168.33.0 255.255.255.0 192.168.1.0 255.255.255.0

33 подсеть находится за маршрутизатором R2, 1 подсеть - за R1.

Суммаризация адресов EIGRP и IPSec на ASA

Ну и чтобы убедиться окончательно, покажите, пожалуйста

sh route | i 192.168.

До и после summary.

New Member

Re: Суммаризация адресов EIGRP и IPSec на

Ну после summary показать не могу, ASA сейчас в продакшне, до summary следующее:

S    192.168.1.114 255.255.255.255 [1/0] via 192.168.1.254, MANAGEMENT

D EX 192.168.1.0 255.255.255.0

           [170/28416] via 192.168.12.254, 19:30:44, ISP1-TO-R1

D EX 192.168.33.0 255.255.255.0

           [170/3584] via 192.168.50.193, 19:30:42, TO_R2

По памяти, после команды "summary-address eigrp 1 192.168.1.0 255.255.255.0" на интерфейсе Ethernet0/1.80 получаю следующее в таблице маршрутизации:

D       192.168.1.0 255.255.255.0 is a summary, 00:07:18, Null0

Суммаризация адресов EIGRP и IPSec на ASA

Так вот в чем дело, путаете меня. Сначала у Вас:

D EX 192.168.1.0 255.255.255.252

           [170/28416] via 192.168.12.254, 17:09:56, ISP1-TO-R1 и т.д.

Затем:

D EX 192.168.1.0 255.255.255.0

           [170/28416] via 192.168.12.254, 19:30:44, ISP1-TO-R1

Тогда очевидно, что суммировать нужно с AD большим, чем 170:

Так:

interface Ethernet0/1.80

summary-address eigrp 1 192.168.1.0 255.255.255.0 171

Пожалуйста, отметьте мой пост как "Правильное решение", если оно Вам помогло.

New Member

Re: Суммаризация адресов EIGRP и IPSec на

Да, прошу прощения, в том посте я не верно указал маску, она везде 24 (я там подправил)

Насчёт AD тоже пришла мысль, раз AD будет меньше для интерфесов, на которых висит криптомап, то правильные маршруты попадут в таблицу, и в теории IPSec должен пойти, так?

Re: Суммаризация адресов EIGRP и IPSec на

Да, именно так, если больше нет никаких подводных камней в той части конфигурации, которую Вы не показали.

New Member

Re: Суммаризация адресов EIGRP и IPSec на

Ну вечером попробую, спасибо!

Re: Суммаризация адресов EIGRP и IPSec на

Не забудьте отписаться по результату.

New Member

Re: Суммаризация адресов EIGRP и IPSec на

Отписываюсь - всё сработало как нужно, поставил для надёжности 255, проверил со 180 и с 255, таблицы маршрутизации аналогичные, в этом случае маршрута на Null0 в них нет.

Просьба ещё уточнить касательно вывода show eigrp topology на ASA. В таблицу маршрутизации сейчас попадает следующее:

D EX 192.168.1.0 255.255.255.0

           [170/28416] via 192.168.12.254, 12:51:38, ISP1-TO-R1

По команде show eigrp topology вижу следующее:

P 192.168.1.0 255.255.255.0, 1 successors, FD is 28160

        via 192.168.12.254 (28416/2816), Ethernet0/2.12

        via 192.168.12.246 (30976/2816), Ethernet0/2.25

        via Summary (28160/0), Null0

Если указано, что FD - 28160, то почему маршрут через E0/2.12 попадает в таблицу, ведь у него FD больше? А advertise через интерфейс Null0 и вовсе ноль.

Суммаризация адресов EIGRP и IPSec на ASA

Igor Tiunov написал(а):

P 192.168.1.0 255.255.255.0, 1 successors, FD is 28160

        via 192.168.12.254 (28416/2816), Ethernet0/2.12

        via 192.168.12.246 (30976/2816), Ethernet0/2.25

        via Summary (28160/0), Null0

У вас FD  28416 через Ethernet0/2.12, FD 30976 через Ethernet0/2.25.

28416 < 30976.

Отсюда в таблицу маршрутизации попадает маршрут через Ethernet0/2.12.

New Member

Суммаризация адресов EIGRP и IPSec на ASA

Вот это-то как раз ясно, но ведь есть ещё третья строчка:

via Summary (28160/0), Null0


И судя по этому выводу команды следовало бы предположить, что в таблице будет маршрут через Null0.

Суммаризация адресов EIGRP и IPSec на ASA

Покажите конфигурацию интерфейса в данный момент.

New Member

Re: Суммаризация адресов EIGRP и IPSec на

Какого именно?

P 192.168.1.0 255.255.255.0, 1 successors, FD is 28160, serno 521

        via 192.168.12.254 (28416/2816), Ethernet0/2.12

        via 192.168.12.246 (30976/2816), Ethernet0/2.25

        via Summary (28160/0), Null0

ASA# sho run int e0/2.12

!

interface Ethernet0/2.12

vlan 12

nameif ISP1-TO-R1

security-level 50

ip address 192.168.12.249 255.255.255.248 standby 192.168.12.250

delay 10

authentication key eigrp 1 ***** key-id 0

authentication mode eigrp 1 md5

ASA# sho run int e0/2.25

!

interface Ethernet0/2.25

vlan 25

nameif ISP2-TO-R1

security-level 50

ip address 192.168.12.241 255.255.255.248 standby 192.168.12.242

delay 20

authentication key eigrp 1 ***** key-id 0

authentication mode eigrp 1 md5

ASA#

ASA# sho run int e0/1.80

!

interface Ethernet0/1.80

vlan 80

nameif  TO_R2

security-level 50

ip address 192.168.50.195 255.255.255.240 standby 192.168.50.196

authentication key eigrp 1 ***** key-id 1

authentication mode eigrp 1 md5

summary-address eigrp 1 192.168.1.0 255.255.255.0 255

Re: Суммаризация адресов EIGRP и IPSec на

У Вас же берется откуда-то summary. Он идет с .80 сабинтерфейса, у него AD 255. Если было бы AD >= 170 - У вас была бы ситуация, как описывалось изначально - трафик бы дропался в Null0.

New Member

Re: Суммаризация адресов EIGRP и IPSec на

Ну summary берётся с интерфейса E0/1.80:

ASA# sho run int e0/1.80

!

interface Ethernet0/1.80

vlan 80

nameif TO_R2

security-level 50

ip address 192.168.50.195 255.255.255.240 standby 192.168.50.196

authentication key eigrp 1 ***** key-id 1

authentication mode eigrp 1 md5

summary-address eigrp 1 192.168.1.0 255.255.255.0 255

!

ASA# sho running-config router eigrp

!

router eigrp 1

no auto-summary

distribute-list EIGRP-TOR2 out interface TO_R2

distribute-list EIGRP-FROMR2 in interface TO_R2

distribute-list EIGRP-TOR1 out interface ISP1-TO-R1

distribute-list EIGRP-FROMR1 in interface ISP1-TO-R1

distribute-list EIGRP-TOR1 out interface ISP2-TO-R1

distribute-list EIGRP-FROMR1 in interface ISP2-TO-R1

network 192.168.12.241 255.255.255.255

network 192.168.12.249 255.255.255.255

network 192.168.50.195 255.255.255.255

passive-interface default

no passive-interface TO_R2

no passive-interface ISP1-TO-R1

no passive-interface ISP2-TO-R1

redistribute static

!

New Member

Re: Суммаризация адресов EIGRP и IPSec на

Всё, я понял! Т.е. в таблицу выбирается лучший из трёх следующих:

1. D EX 192.168.1.0 255.255.255.0

           [170/28416] via 192.168.12.254, 44:00:00,  ISP1-TO-R1

2. D EX 192.168.1.0 255.255.255.0

           [170/30976] via 192.168.12.254, 44:00:00,  ISP2-TO-R1

3. D EX 192.168.1.0 255.255.255.0

           [255/28160] via 192.168.12.254, 44:00:00, Null0

Так?

Суммаризация адресов EIGRP и IPSec на ASA

Да, все верно.

New Member

Re: Суммаризация адресов EIGRP и IPSec на

Спасибо.

1437
Просмотры
0
Полезный материал
21
Ответы