https://217.65.3.21/openforum/vsluhforumID6/21436.html Здравствуйте, уважаемые Профессионалы.<br>Подскажите, как можно реализовать такую схему объединения сетей через различных поставщиков СПД?<br><br>http://savepic.ru/1527486.jpg<br><br><br>SP1,...,SPn - это провайдеры.<br>SP0 - объединение по L2.<br><br><br>причем: <br>1. Все туннели должны быть зашифрованы (IPSec).<br>2. Желательно использование всех каналов (чтобы они не простаивали), но при отсутствии связи в каком-то из каналов - пакеты не должны теряется.<br>3. Также желательно, чтобы при падении одного из узлов (R1, R2, ..., Rn) остальные не теряли связь друг с другом (Все со всеми).<br>4. Возможно ли такое объединение, если у некоторых точек будут динамические IP?<br>5. Хотелось бы учесть и то, что в будущем планируется реализация QOS, Протоколы динамической маршрутизации и, возможно, Multicast.<br><br>На данный момент реализована схема объединения со статической маршрутизацией и статическими Пирами IPSec через ACL, без GRE туннелей и без NAT.<br><br>Предлагаю продвигаться от общего к частному: Для начала описать общетеоретическую схему (ч https://217.65.3.21/openforum/vsluhforumID6/21436.html#17 Sat, 29 Jan 2011 17:26:04 GMT &gt;[оверквотинг удален]<br>&gt; прописываю <br>&gt; tunnel protection ipsec profile vpn-profile-AES <br>&gt; то соединения устанавливаются, а трафик шифрованный не идет. В колонке Decrypt 0 <br>&gt; пакетов.<br>&gt; Если при этом снять с интерфейсов ip access-group 170 in - то <br>&gt; шифрованный трафик начинает ходить.<br>&gt; Два вопроса: <br>&gt; 1. Если я хочу шифровать трафик алгоритмом AES в правильном направлении я <br>&gt; двигаюсь?<br>&gt; 2. Какие порты надо открыть для AES?<br><br>в acl 170 добавьте gre и ah так как acl на интерфейсе проверяется два раза если у вас есть крипто.<br>35 permit ah any host xxx.xxx.xxx.xxx<br>37 permit gre any host xxx.xxx.xxx.xxx<br> <br>а алгоритм не имеет значение, для ipsec нужен ah, esp, udp 500 или udp 4500 в случаи nat <br> https://217.65.3.21/openforum/vsluhforumID6/21436.html#16 Fri, 19 Nov 2010 06:13:45 GMT А какие порты мне нужно открыть если я хочу AES вместо 3DES использовать?<br><br>у менс сейчас так:<br>crypto isakmp policy 2<br> encr aes<br> hash md5<br> authentication pre-share<br> group 2<br>crypto ipsec transform-set trans esp-3des esp-md5-hmac<br>crypto ipsec transform-set transAES ah-md5-hmac esp-aes<br>!<br>crypto ipsec profile vpn-profile<br> set transform-set trans<br>!<br>crypto ipsec profile vpn-profile-AES<br> set transform-set transAES<br>!<br>interface Tunnel0<br> ...<br> tunnel source FastEthernet4<br> tunnel protection ipsec profile vpn-profile<br>!<br>interface FastEthernet4<br> ...<br> ip access-group 170 in<br>____________<br>sh access-lists 170<br>Extended IP access list 170<br> 30 permit esp any host xxx.xxx.xxx.xxx (5979288 matches)<br> 40 permit udp any eq isakmp host xxx.xxx.xxx.xxx eq isakmp (781224 matches)<br><br>sh cr en conn a<br>Crypto Engine Connections<br><br> ID Interface Type Algorithm Encrypt Decrypt IP-Address<br> 507 Tu0 IPsec 3DES+MD5 0 460 xxx.xxx.xxx.xxx<br> 508 Tu0 IPsec 3DES+MD5 https://217.65.3.21/openforum/vsluhforumID6/21436.html#15 Fri, 19 Nov 2010 06:12:49 GMT &gt;&gt; на хабе и на споке<br>&gt;&gt; crypto isakmp invalid-spi-recovery<br>&gt;&gt; вроде помог мне<br>&gt; Списибо. Прописал. Надеюсь поможет и мне.<br><br>Помог<br>crypto isakmp invalid-spi-recovery<br>вместе с<br>crypto isakmp keepalive 10 periodic<br> https://217.65.3.21/openforum/vsluhforumID6/21436.html#14 Mon, 18 Oct 2010 02:28:14 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Я так понимаю что Spoke роутеры пытаются соединится с HUB роутером с<br>&gt;&gt; новыми ключами полученными в процессе работы, а роутер ждет новые.<br>&gt;&gt; Помогает shutdown, no shutdown на туннельных интерфейсах spoke роутеров.<br>&gt;&gt; Это конечно не дело. Если канал на HUB роутере упадет связь сама<br>&gt;&gt; не восстановится.<br>&gt;&gt; Как эту ситуацию побороть? Т.е. как заставить поднимать тунели автоматом при возобновлении<br>&gt;&gt; связи?<br>&gt; на хабе и на споке<br>&gt; crypto isakmp invalid-spi-recovery<br>&gt; вроде помог мне<br><br>Списибо. Прописал. Надеюсь поможет и мне.<br> https://217.65.3.21/openforum/vsluhforumID6/21436.html#13 Fri, 15 Oct 2010 10:58:23 GMT &gt;[оверквотинг удален]<br>&gt; DMVPV настроен и работает.<br>&gt; Но: Если если перезагрузить HUB роутер туннели не поднимаются. На корневой роутер<br>&gt; приходит сообщение о неверном ключе.<br>&gt; Я так понимаю что Spoke роутеры пытаются соединится с HUB роутером с<br>&gt; новыми ключами полученными в процессе работы, а роутер ждет новые.<br>&gt; Помогает shutdown, no shutdown на туннельных интерфейсах spoke роутеров.<br>&gt; Это конечно не дело. Если канал на HUB роутере упадет связь сама<br>&gt; не восстановится.<br>&gt; Как эту ситуацию побороть? Т.е. как заставить поднимать тунели автоматом при возобновлении<br>&gt; связи?<br><br>на хабе и на споке<br><br>crypto isakmp invalid-spi-recovery<br><br>вроде помог мне<br> https://217.65.3.21/openforum/vsluhforumID6/21436.html#12 Fri, 15 Oct 2010 07:03:53 GMT Еще вопросик:<br>DMVPV настроен и работает.<br>Но: Если если перезагрузить HUB роутер туннели не поднимаются. На корневой роутер приходит сообщение о неверном ключе.<br>Я так понимаю что Spoke роутеры пытаются соединится с HUB роутером с новыми ключами полученными в процессе работы, а роутер ждет новые.<br>Помогает shutdown, no shutdown на туннельных интерфейсах spoke роутеров.<br>Это конечно не дело. Если канал на HUB роутере упадет связь сама не восстановится.<br>Как эту ситуацию побороть? Т.е. как заставить поднимать тунели автоматом при возобновлении связи?<br> https://217.65.3.21/openforum/vsluhforumID6/21436.html#11 Thu, 23 Sep 2010 11:37:09 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Спасибо. <br>&gt;&gt;<br>&gt;&gt;а что, 47 (gre) и 51 (ah) не шифроуются? идут открытыми между <br>&gt;&gt;узлами? <br>&gt;&gt;не через isakmp? <br>&gt;<br>&gt;izvenjajus' chto na latine... <br>&gt;eto zaviset kuda vi crypto-map postavili... esli na vneshnei interfac to acl <br>&gt;proverjajetsja 2 raza - pered i posle decrypta, smotrite zdes'. <br>&gt;http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080133ddd.shtml <br><br>ahh, u vas dmvpn ja upustil eto... togda udp 500 i ip 50 (ili esli spoke ili hub za natom to udp 4500)<br> https://217.65.3.21/openforum/vsluhforumID6/21436.html#10 Thu, 23 Sep 2010 10:56:45 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;для нормальной работы DMVPN? <br>&gt;&gt;<br>&gt;&gt;ip protocol 47 (gre), 50 (esp) 51 (ah), udp 500 (isakmp) (esli <br>&gt;&gt;u vas nat to udp 4500 (ipsec-nat-t)) <br>&gt;<br>&gt;Спасибо. <br>&gt;<br>&gt;а что, 47 (gre) и 51 (ah) не шифроуются? идут открытыми между <br>&gt;узлами? <br>&gt;не через isakmp? <br><br>izvenjajus' chto na latine...<br>eto zaviset kuda vi crypto-map postavili... esli na vneshnei interfac to acl proverjajetsja 2 raza - pered i posle decrypta, smotrite zdes'.<br>http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080133ddd.shtml<br><br><br> https://217.65.3.21/openforum/vsluhforumID6/21436.html#9 Thu, 23 Sep 2010 07:34:40 GMT &gt;&gt;&gt;посматрите в сторону DMVPN: http://www.cisco.com/en/US/tech/tk583/tk372/technologies_white_paper09186a008018983e.shtml <br>&gt;&gt;<br>&gt;&gt;Еще маленький, но важный вопросик: <br>&gt;&gt;Какой входящий трафик на внешних интерфейсах Hub и Spoke роутеров надо разрешить <br>&gt;&gt;для нормальной работы DMVPN? <br>&gt;<br>&gt;ip protocol 47 (gre), 50 (esp) 51 (ah), udp 500 (isakmp) (esli <br>&gt;u vas nat to udp 4500 (ipsec-nat-t)) <br><br>Спасибо.<br><br>а что, 47 (gre) и 51 (ah) не шифроуются? идут открытыми между узлами?<br>не через isakmp?<br>