форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"Crypto map повесить на Loopback + Завернуть на него траффик"	+/–
Сообщение от Pavel (??) on 07-Сен-12, 12:50
Здравствуйте, Cisco 3925, IOS c3900-universalk9-mz.SPA.151-2.T2.bin Возникла необходимость реализовать две пачки IPSEC c Crypto-Map на одном маршрутизаторе. Для одной пачки  Crypto-Map один IP peer, для другой пачки новый IP Peer. На выходящем интерфейсе уже висит одна скиптокарта. Необходимо куда то еще повесить новую криптокарту. Нашел описания варианта Crypto-Map на Loopback, и потом с помощью ip policy route-map REROUTE завернуть трафик через этот Loopback. Попытался реализовать - не работает. конфиг такой http://blog.rackrental.eu/2010/05/07/ipsec-site-to-site-vpn-.../ crypto isakmp policy 10 encr 3des authentication pre-share group 2 lifetime 3600 crypto isakmp key XXXXX address 1.1.1.1 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! crypto map VPN_MAP 10 ipsec-isakmp set peer 1.1.1.1 set transform-set ESP-3DES-SHA match address INT_TRAFF ! interface Loopback0 ip address 2.2.2.2 255.255.255.255 crypto map VPN_MAP ! interface FastEthernet1/1 Description == TO INTERNET == ip address 192.168.0.2 255.255.255.252 ip policy route-map REROUTE duplex auto speed auto crypto map "Другая, рабочая" ! ip access-list extended INT_TRAFF permit tcp host 192.168.0.1 host 172.16.0.8 ! route-map REROUTE permit 10 match ip address INT_TRAFF set interface Loopback0 Еще при вводе команды  set interface Loopback0 получаю: CISCO(config-route-map)#set interface Loopback3           %Warning:Use P2P interface for routemap setinterface clause http://www.opennet.dev/openforum/vsluhforumID6/15264.html http://ieoc.com/forums/t/6259.aspx http://cciereview.com/pbr-set-interface-troubles/ Пробовал другие команды: -  set default interface Loopback3 -  ip route 5.5.5.5 255.255.255.255 Loopback0 + set ip default next-hop 5.5.5.5 с этими командами ошибок не выдает, но не вижу перенаправления трафика на Loopback3, трафик не инкапсулируется, не шифруется. Посоветуйте, пожалуйста, каким образом можно сделать на одном маршрутизаторе две Crypto-карты, с разными (своими) peer-IP, при том что выход в интернет один.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Crypto map повесить на Loopback + Завернуть на него траффик"	+/–
Сообщение от BJ (ok) on 07-Сен-12, 16:45
Циферки после названия мапы для этого сделаны: crypto map MAP 10 ipsec-isakmp set peer 1.1.1.1 crypto map MAP 20 ipsec-isakmp set peer 2.2.2.2
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Crypto map повесить на Loopback + Завернуть на него траффик"	+/–
	Сообщение от Pavel (??) on 07-Сен-12, 17:06
	Извините, если неясно выразился. Необходимо, чтобы наш пир для новой (второй) криптокарты имел наш новый IP, IP источника, а не назначения. Смысл - получили PI адреса, и нужно постепенно переехать с адресов провайдера на новые PI адреса, перевести IPSEC-и (которых штук 50)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Crypto map повесить на Loopback + Завернуть на него траффик"	+/–
	Сообщение от BJ (ok) on 09-Сен-12, 16:11
	Поэксперементируйте с isakmp profile.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Crypto map повесить на Loopback + Завернуть на него траффик"	+/–
	Сообщение от Pavel (??) on 27-Сен-12, 11:53
	Здравствуйте. Спасибо всем за советы! Разобрался. Тему можно закрыть. Еще раз повторюсь, нужно было реализовать второй Cryptomap, и чтоб в нем  использовался (YY.YY.YY.YY) - отличный от первого Cryptomap IP-адрес источника. После более внимательного тестирования, оказалось, что самая первая схема, описанная в начале РАБОТАЕТ, и даже если NAT на этом же маршрутизаторе. "вариант Crypto-Map на Loopback, и потом с помощью ip policy route-map REROUTE завернуть трафик через этот Loopback." http://blog.rackrental.eu/2010/05/07/ipsec-site-to-site-vpn-.../ Только пару замечаний: 1) вместо "set interface Loopback3" использовать "set default interface Loopback3" 2) Если на этом же маршрутизаторе настроен еще и NAT (ip nat inside source), то заворачивать на Loopback3 нужно трафик до NAT. А в IPSEC уже указывать NAT-IP. У меня с этим были сложности. Вот такой конфиг, может быть кому пригодится.. crypto isakmp key TEST-IPSEC address XX.XX.XX.XX crypto isakmp policy 20 encr aes 256 authentication pre-share group 5 lifetime 28800 crypto ipsec transform-set AES256-SHA esp-aes 256 esp-sha-hmac crypto map PI-IPSEC 1 ipsec-isakmp description **TEST-IPSEC** set peer XX.XX.XX.XX set transform-set AES256-SHA match address TEST-IPSEC set security-association lifetime seconds 28800 ip access-l ex TEST-IPSEC     permit ip host <NAT-IP> host 10.4.0.7 (после NAT) interface Loopback3 description **for IPSEC-PI** ip address YY.YY.YY.YY 255.255.255.255 ip nat outside ip policy route-map REROUTE crypto map PI-IPSEC ------NAT------- ip access-list extended XXXX permit ip host 192.168.10.13 host 10.4.0.7 route-map XXXX permit 10 match ip address XXXX ip nat inside source static 192.168.10.13 <NAT-IP> route-map XXXX extendable ------Reroute------ ip access-list extended REROUTE permit ip host 192.168.10.13 host 10.4.0.7 (до NAT) route-map REROUTE permit 6 description **for IPSEC-PI** match ip address REROUTE set default interface Loopback3 ip local policy route-map REROUTE
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Crypto map повесить на Loopback + Завернуть на него траффик"	+/–
	Сообщение от vaden on 12-Сен-13, 17:51
	Павел, а с каким фиче-сетом был ваш иос? И нужен-ли ip policy route-map REROUTE на Loopback3
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема