Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

VPN-тоннель между двумя Cisco1811

Добрый день!

Есть 100мб соединение между двумя офисами через сеть провайдера (проброс на канальном уровне). Необходимо зашифровать это соединение, для этого предполагаю использовать 2 маршрутизатора Cisco1811.

Затык в конфигурировании, вроде все просто, однако в PocketTracer не работает и на железках, какие-то траблы. Во всех примерах присутствует промежуточный маршрутизатор, я же пытаюсь соединить из их как-бы напрямую. Оно так может работать, вообще?

Спасибо!

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

Конфигурация выглядит

Конфигурация выглядит корректно.

А что не работает? Вы трафик пробовали посылать между сайтами (без трафика IPSec не поднимется)?

9 ОТВЕТ.

Добрый день.

Добрый день.

В случае шифрования 1811 потянут не более 10-12 Мбит. А для 100Мбит нужны серьезные железки типа 2921/2951 + HSEC лицензия.

Насчет проблемы настройки - приведите вывод "show ver" + конфиг для IPSec с двух сторон.

New Member

Cisco IOS Software, C181X

Что-то каша тут какая-то с форматированием. Как код нормально вставить не понял... прикрепил txt...

Из железок есть еще 2621XM и 2811 (без флешки...)

Конфигурация выглядит

Конфигурация выглядит корректно.

А что не работает? Вы трафик пробовали посылать между сайтами (без трафика IPSec не поднимется)?

New Member

Спасибо! Все работает! Вот

Спасибо! Все работает! Вот дошли только сейчас руки. Это все PocketTracer изначально сбил с толку - в нем не все нормально работает. На железках вдумчиво настроил и все ок! Кстати по скорости - все 100мбит утилизируется (правда в один поток пробовал, может на множественных запросах и просядет)...

Добрый день.

Добрый день.

Если у Вас 100 Мбит нормально идет через 1811, то, скорее всего, трафик не шифруется.

New Member

А как проверить? этого

Нашел такую проблему:

На картинке из первого поста все показано упрощенно, и действительно, если так подключить, то все работает и шифруется трафик (видно по sh crypto ipsec sa) и скорость все 100мбит...


   current_peer 192.168.200.2 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 540704, #pkts encrypt: 540704, #pkts digest: 540704
    #pkts decaps: 93324, #pkts decrypt: 93324, #pkts verify: 93324

На самом деле за каждым из маршрутизаторов стоит по L3 коммутатору и за ними по нескольку подсетей. И вот трафик из этих подсетей проходит мимо акцесс-листа. Как правильно написать этот акцесс-лист? У меня пока в нем только подсети, которые на внутренних интерфейсах маршрутизаторов, я так понимаю, что в него надо и другие подсети добавлять? Как это правильно написать?

ip access-list extended FOR-VPN
 permit ip 192.168.230.0 0.0.0.255 10.200.1.0 0.0.0.255 //существующая запись

 permit ip any 10.200.10.0 0.0.0.255 // так будет правильно?

 permit ip any 10.200.4.0 0.0.0.255 // так будет правильно?

New Member

Вот с большего вся топология,

Вот с большего вся топология, проверьте, кто-нить, плз., маршрутизацию и ACL...

Добрый день.

Добрый день.

Правильно будет что-то вроде:

permit ip 192.168.0.0 0.0.255.255 10.200.0.0 0.0.255.255

PS: но луучше всего сделать VTI+IPSec profile - http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtIPSctm.html

New Member

Спасибо, по ссылке

Спасибо, по ссылке обязательно почитаю. Но, т.к. у меня данные маршрутизаторы исключительно выделены на шифрование данного канала и весь трафик надо пихать в туннель, я сделал вообще просто:

ip access-list extended FOR-VPN
  permit ip any any

Все работает... опять-таки, померял скорость, ну хоть убейте, при копировании большого файла, Total Commander показывает около 11000 кбайт/с)). На роутере, в этот момент смотрю, по sh crypto ipsec sa шифрованные пакеты бегут...

... А если в двух словах, в чем преимущество у VTI+IPSec profile?

206
Просмотры
0
Полезный материал
9
Ответы
СоздатьДля создания публикации, пожалуйста в систему