Cisco Support Community
cancel
Showing results for 
Search instead for 
Did you mean: 
cancel
Community Member

Configurar tres tuneles IPSEC-GRE, para enlazar dos sitios

Gente buen dia, estoy necesitando ascesoramiento sobre una configuracion que quiero realizar, tengo dos router 1841 que quiero utilizar para conectar la adm con la planta de mi empresa, en cada sitio tengo dos enlaces de internet dedicado  y un enlace switching entre adm y planta.

Lo que hice fue armar tres tuneles ipsec sobre gre entre los enlaces de cada proveedor, quedando asi la topologia.

ESQUEMA:

Captura.JPG

Habilite eigrp uno para cada tunels, si bien funciona correctamente, es decir se establecen los tres enlaces, y logro acceder a las redes internas atraves de los mismos, los tiempos de respuestas no son bueno, y tengo problema para conectar impresoras de red (protocolo RAW) ya que demoran demasiado.

Otra tema no logro hacer es que cambio el tunel si ahi el principal esta funcionando lento, solo lo hace ante una caida del primer tunel.

Hay forma de hacer este esquema de otra forma? o modificar las prioridades del eigrp?

Desde ya gracias!

Envio la configuracion  de los router.:

ROUTER A:

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key XXXXXXX address c2.c2.c2.c2
crypto isakmp key XXXXXXX address a2.a2.a2.a2
crypto isakmp key XXXXXXX address b2.b2.b2.b2

!
!
crypto ipsec transform-set ESP-3DES-SHA5 esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA8 esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA9 esp-3des esp-sha-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel toc2.c2.c2.c2
set peer c2.c2.c2.c2
set transform-set ESP-3DES-SHA5
match address 108
!
crypto map SDM_CMAP_2 1 ipsec-isakmp
description Tunnel toa2.a2.a2.a2
set peer a2.a2.a2.a2
set transform-set ESP-3DES-SHA8
match address 111
!
crypto map SDM_CMAP_3 1 ipsec-isakmp
description Tunnel tob2.b2.b2.b2
set peer b2.b2.b2.b2
set transform-set ESP-3DES-SHA9
match address 112
!
!
!
!
interface Tunnel0
bandwidth 2000
ip address 10.0.3.253 255.255.255.0
ip mtu 1420
tunnel source C1.C1.C1.C1
tunnel destination c2.c2.c2.c2
tunnel path-mtu-discovery
crypto map SDM_CMAP_1
!
interface Tunnel1
bandwidth 10000
ip address 10.0.1.253 255.255.255.0
ip mtu 1420
tunnel source a1.a1.a1.a1
tunnel destination a2.a2.a2.a2
tunnel path-mtu-discovery
crypto map SDM_CMAP_2
!
interface Tunnel2
bandwidth 2000
ip address 10.0.2.253 255.255.255.0
ip mtu 1420
tunnel source b1.b1.b1.b1
tunnel destination b2.b2.b2.b2
tunnel path-mtu-discovery
crypto map SDM_CMAP_3

router eigrp 10
network 10.0.3.0 0.0.0.255
network 192.168.40.0
no auto-summary
!
router eigrp 12
network 10.0.2.0 0.0.0.255
network 192.168.40.0
no auto-summary
!
router eigrp 11
network 10.0.1.0 0.0.0.255

network 192.168.40.0
no auto-summary
!

ROUTER B

!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key XXXXXXXX address c1.c1.c1.c1

crypto isakmp key XXXXXXXX address a1.a1.a1.a1
crypto isakmp key XXXXXXXX address b1.b1.b1.b1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA2 esp-3des esp-sha-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel toc1.c1.c1.c1
set peer c1.c1.c1.c1
set transform-set ESP-3DES-SHA
match address 100
!
crypto map SDM_CMAP_2 1 ipsec-isakmp
description Tunnel toa1.a1.a1.a1

set peer a1.a1.a1.a1
set transform-set ESP-3DES-SHA1
match address 102
!
crypto map SDM_CMAP_3 1 ipsec-isakmp
description Tunnel tob1.b1.b1.b1

set peer b1.b1.b1.b1
set transform-set ESP-3DES-SHA2
match address 104

interface Tunnel0
bandwidth 2000
ip address 10.0.3.254 255.255.255.0
ip broadcast-address 10.0.3.255
ip mtu 1420
tunnel source c2.c2.c2.c2
tunnel destination c1.c1.c1.c1
tunnel path-mtu-discovery
crypto map SDM_CMAP_1
!
interface Tunnel1
bandwidth 3000
ip address 10.0.1.254 255.255.255.0
ip broadcast-address 10.0.1.255
ip mtu 1420
tunnel source a2.a2.a2.a2

tunnel destination a1.a1.a1.a1

tunnel path-mtu-discovery
crypto map SDM_CMAP_2
!
interface Tunnel2
bandwidth 2000
ip address 10.0.2.254 255.255.255.0
ip broadcast-address 10.0.2.255

ip mtu 1420
tunnel source b2.b2.b2.b2
tunnel destination b1.b1.b1.b1

tunnel path-mtu-discovery
crypto map SDM_CMAP_3
!

router eigrp 10
network 10.0.3.0 0.0.0.255
network 192.168.41.0
no auto-summary
!
router eigrp 12
network 10.0.2.0 0.0.0.255
network 192.168.41.0
no auto-summary
!
router eigrp 11
network 10.0.1.0 0.0.0.255
network 192.168.41.0
no auto-summary

1 REPLY
Cisco Employee

Re: Configurar tres tuneles IPSEC-GRE, para enlazar dos sitios

Hola Daniel,

No puedo hacer comentarios sobre la configuración en general porque hay muchos aspectos de la configuración y topologia que no se describen.

Uno de los aspectos que debes considerar es que el rendimiento de 'IPSec/Crypto' de cada familia de dispositivos de red es diferente y no es igual con el rendimiento 'normal', sin utilizar IPSec, de la mismas plataformas.

Una sugerencia que puedo hacer, y es importante, tienes que cambiar la configuración de 'crypto maps'.

Como se muestra en el documento Cisco que se refiere a continuación, antes de IOS 12.2(13)T,  
tenemos que aplicar la configuration de crypto mapas a ambas interfaces: tunel GRE y interfaz fisica.

Desde 12.2(13)T, solo es soportado aplicar la configuration de crypto mapas a una interfaz fisica o 
tienes que utilisar "tunnel protection ipsec profile" sobre la tunel GRE. No hay otra opcion.

http://www.cisco.com/en/US/customer/tech/tk583/tk372/technologies_configuration_example09186a0080094bff.shtml#hw

Saludos

Istvan

3828
Views
0
Helpful
1
Replies
CreatePlease to create content