Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
Community Member

Site-to-site VPN

Добрый день.

Маршрутизатор 2851, два интерфейса, на внешнем Remote VPN работает + держит 20 динамических VPN с сайтами. Нужно настроить site-to-site VPN с облаком. 

На интерфейсе уже висит crypto map с динамической картой. Пробовал дописать туда следующую секвенцию, не работает. Даже не пытается устанавливать соединение.

6 ОТВЕТ.
Community Member

Насколько помню из курса -

Насколько помню из курса - динамический map должен быть последним в списке.

Community Member

Александр,  то ест  надо

Александр,  то ест  надо вешать второй профиль? А можно еще вторую политику повесить IPSEC? VPN будет в транспортном режиме работать?

Community Member

На интерфейс crypto map можно

На интерфейс crypto map можно повесить только один. А для Site-to-Site туннелей нужно создавать правила в последовательности до динамической карты.

Например:

crypto dynamic-map DYNTEMP 65535
 ! Incomplete
 set peer 1.2.3.4
 match address 110
crypto map CRYIPSEC 10 ipsec-isakmp
 set peer 128.128.128.1
 match address 100
crypto map CRYIPSEC 20 ipsec-isakmp
 ! Incomplete
 set peer 182.1.1.10
 match address 101
crypto map CRYIPSEC 65534 ipsec-isakmp dynamic DYNTEMP

Про транспортный и туннельный режим довольно внятно написано здесь http://www.ciscopress.com/articles/article.asp?p=25477

Community Member

Спасибо, прояснили. А если

Спасибо, прояснили. А если нужны разные isakmp policy, их просто повесить под теми же номерами что и crypto map.

Community Member

Политики ISAKMP могут

Политики ISAKMP могут настраиваться глобально для устройства и работают там, где навешен crypto map или tunnel protection ipsec profile. Сам профиль должен содержать pre-shard key и с какими адресами его использовать. В руководстве по проектированию представлен пример профиля для VRF:

crypto keyring DMVPN-KEYRING vrf INET-PUBLIC
pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123
!----------------------------------------------------------------------------
crypto isakmp policy 10
encr aes 256
hash sha
authentication pre-share
group 2
!----------------------------------------------------------------------------
crypto isakmp profile FVRF-ISAKMP-INET-PUBLIC
keyring DMVPN-KEYRING
match identity address 0.0.0.0 INET-PUBLIC
!----------------------------------------------------------------------------
crypto ipsec transform-set AES256/SHA/TRANSPORT esp-aes 256 esp-sha-hmac mode transport
!----------------------------------------------------------------------------
crypto ipsec profile DMVPN-PROFILE
set transform-set AES256/SHA/TRANSPORT
set isakmp-profile FVRF-ISAKMP-INET-PUBLIC
!----------------------------------------------------------------------------
crypto ipsec security-association replay window-size 512

 

http://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Aug2014/CVD-VPNWANDesignGuide-AUG14.pdf

Community Member

Спасибо,но в этом примере

Спасибо,но в этом примере одна политика) А как их сопоставить когда 2 2 политики на 2 впна надо повесить?

142
Просмотры
0
Полезный материал
6
Ответы
СоздатьДля создания публикации, пожалуйста в систему