форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"Cisco3825 BGP+IPSec vpn"	+/–
Сообщение от star117 (ok) on 03-Май-14, 12:22
Доброго времени суток, коллеги! Ситуация: было 3 провайдера отдельных, стало - те же и BGP(свой PI-блок); было понятное подключение филиала по IPSec VPN, стало - ... непонятно как это реализовывать теперь. До появления BGP достаточно было прописать во внешнем интерфейсе: ... crypto map DFL260E ... Теперь же не понимаю в какой интерфейс сие прописать чтобы IPSec устанавливался. Буду рад любой помощи, но лучше бы кусок работающего конфига, или ссылку на статью чётко по моей ситуации.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cisco3825 BGP+IPSec vpn"	+/–
Сообщение от ShyLion (??) on 03-Май-14, 16:37
>[оверквотинг удален] > Ситуация: было 3 провайдера отдельных, стало - те же и BGP(свой PI-блок); > было понятное подключение филиала по IPSec VPN, стало - ... непонятно > как это реализовывать теперь. > До появления BGP достаточно было прописать во внешнем интерфейсе: > ... > crypto map DFL260E > ... > Теперь же не понимаю в какой интерфейс сие прописать чтобы IPSec устанавливался. > Буду рад любой помощи, но лучше бы кусок работающего конфига, или ссылку > на статью чётко по моей ситуации. Делаешь лупбек с адресом из PI, криптомап вешаешь на линки с оператором.  В свойствах криптомапа задай сорсом лупбек.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Cisco3825 BGP+IPSec vpn"	+/–
	Сообщение от star117 (ok) on 04-Май-14, 08:51
	>[оверквотинг удален] >> как это реализовывать теперь. >> До появления BGP достаточно было прописать во внешнем интерфейсе: >> ... >> crypto map DFL260E >> ... >> Теперь же не понимаю в какой интерфейс сие прописать чтобы IPSec устанавливался. >> Буду рад любой помощи, но лучше бы кусок работающего конфига, или ссылку >> на статью чётко по моей ситуации. > Делаешь лупбек с адресом из PI, криптомап вешаешь на линки с оператором. >  В свойствах криптомапа задай сорсом лупбек. Вот тут закавыка - у меня уже есть интерфейс с адресом из PI-блока (шлюз для DMZ), в итоге при попытке установить адрес для Loopback-интерфейса получаю ошибку "% xx.xx.xx.7 overlaps with GigabitEthernet0/0.25". Как в этой ситуации поступить?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Cisco3825 BGP+IPSec vpn"	+/–
	Сообщение от ShyLion (??) on 04-Май-14, 08:56
	> Вот тут закавыка - у меня уже есть интерфейс с адресом из > PI-блока (шлюз для DMZ), в итоге при попытке установить адрес для > Loopback-интерфейса получаю ошибку "% xx.xx.xx.7 overlaps with GigabitEthernet0/0.25". > Как в этой ситуации поступить? Какого размера PI? Сколько отдал на gi0/0.25 ? Лупбеку достаточно одного /32 адреса.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Cisco3825 BGP+IPSec vpn"	+/–
	Сообщение от star117 (ok) on 04-Май-14, 09:06
	>> Вот тут закавыка - у меня уже есть интерфейс с адресом из >> PI-блока (шлюз для DMZ), в итоге при попытке установить адрес для >> Loopback-интерфейса получаю ошибку "% xx.xx.xx.7 overlaps with GigabitEthernet0/0.25". >> Как в этой ситуации поступить? > Какого размера PI? Сколько отдал на gi0/0.25 ? > Лупбеку достаточно одного /32 адреса. PI/24 - 255 адресов. На gi0/0.25 повесил один первый адрес диапазона (xx.xx.xx.1 255.255.255.0) На лупбэке пробовал прописать xx.xx.xx.7 255.255.255.255 - не проходит.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Cisco3825 BGP+IPSec vpn"	+/–
	Сообщение от ShyLion (??) on 04-Май-14, 09:14
	>>> Вот тут закавыка - у меня уже есть интерфейс с адресом из >>> PI-блока (шлюз для DMZ), в итоге при попытке установить адрес для >>> Loopback-интерфейса получаю ошибку "% xx.xx.xx.7 overlaps with GigabitEthernet0/0.25". >>> Как в этой ситуации поступить? >> Какого размера PI? Сколько отдал на gi0/0.25 ? >> Лупбеку достаточно одного /32 адреса. > PI/24 - 255 адресов. > На gi0/0.25 повесил один первый адрес диапазона (xx.xx.xx.1 255.255.255.0) > На лупбэке пробовал прописать xx.xx.xx.7 255.255.255.255 - не проходит. Ты ВЕСЬ PI на один интерфейс повесил? Ну ты даешь. А с какой целью?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Cisco3825 BGP+IPSec vpn"	+/–
	Сообщение от star117 (ok) on 04-Май-14, 09:23
	>[оверквотинг удален] >>>> PI-блока (шлюз для DMZ), в итоге при попытке установить адрес для >>>> Loopback-интерфейса получаю ошибку "% xx.xx.xx.7 overlaps with GigabitEthernet0/0.25". >>>> Как в этой ситуации поступить? >>> Какого размера PI? Сколько отдал на gi0/0.25 ? >>> Лупбеку достаточно одного /32 адреса. >> PI/24 - 255 адресов. >> На gi0/0.25 повесил один первый адрес диапазона (xx.xx.xx.1 255.255.255.0) >> На лупбэке пробовал прописать xx.xx.xx.7 255.255.255.255 - не проходит. > Ты ВЕСЬ PI на один интерфейс повесил? Ну ты даешь. А с > какой целью? Хороший вопрос:) Я считал что повесил всего лишь один адрес! Ведь сервера с адресами xx.xx.xx.2 и так далее трафик через шлюз xx.xx.xx.1 пересылают. Или в данном случае обычные правила адресов и масок не работают?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Cisco3825 BGP+IPSec vpn"	+/–
	Сообщение от ShyLion (??) on 04-Май-14, 09:28
	>[оверквотинг удален] >>>> Лупбеку достаточно одного /32 адреса. >>> PI/24 - 255 адресов. >>> На gi0/0.25 повесил один первый адрес диапазона (xx.xx.xx.1 255.255.255.0) >>> На лупбэке пробовал прописать xx.xx.xx.7 255.255.255.255 - не проходит. >> Ты ВЕСЬ PI на один интерфейс повесил? Ну ты даешь. А с >> какой целью? > Хороший вопрос:) > Я считал что повесил всего лишь один адрес! Ведь сервера с адресами > xx.xx.xx.2 и так далее трафик через шлюз xx.xx.xx.1 пересылают. > Или в данном случае обычные правила адресов и масок не работают? Все работает, только у тебя что, 250 серверов в одной дмз?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Cisco3825 BGP+IPSec vpn"	+/–
	Сообщение от star117 (ok) on 04-Май-14, 09:31
	>[оверквотинг удален] >>>> PI/24 - 255 адресов. >>>> На gi0/0.25 повесил один первый адрес диапазона (xx.xx.xx.1 255.255.255.0) >>>> На лупбэке пробовал прописать xx.xx.xx.7 255.255.255.255 - не проходит. >>> Ты ВЕСЬ PI на один интерфейс повесил? Ну ты даешь. А с >>> какой целью? >> Хороший вопрос:) >> Я считал что повесил всего лишь один адрес! Ведь сервера с адресами >> xx.xx.xx.2 и так далее трафик через шлюз xx.xx.xx.1 пересылают. >> Или в данном случае обычные правила адресов и масок не работают? > Все работает, только у тебя что, 250 серверов в одной дмз? Нет конечно :) Но давай по вопросу. Мне нужно увеличить маску на gi0/0.25, чтобы мочь выдать адрес для лупбека?
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Cisco3825 BGP+IPSec vpn"	+/–
	Сообщение от ShyLion (ok) on 05-Май-14, 06:41
	> Нет конечно :) > Но давай по вопросу. Мне нужно увеличить маску на gi0/0.25, чтобы мочь > выдать адрес для лупбека? Ну конечно. Не знаю какая у тебя архитектура сети. У нас в компании, в сети где 2000 хостов, три роутера имеют адреса из PI /24, линки между ними, лупбеки, несколько разных DMZ, куча отдельных адресов под НАТ для каждой цели/сервера свой, занято пока что только 102 адреса. Это при том что сюда входят незанятые в ДМЗ адреса.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Cisco3825 BGP+IPSec vpn"	+/–
	Сообщение от star117 (ok) on 05-Май-14, 08:12
	>> Нет конечно :) >> Но давай по вопросу. Мне нужно увеличить маску на gi0/0.25, чтобы мочь >> выдать адрес для лупбека? > Ну конечно. > Не знаю какая у тебя архитектура сети. > У нас в компании, в сети где 2000 хостов, три роутера имеют > адреса из PI /24, линки между ними, лупбеки, несколько разных DMZ, > куча отдельных адресов под НАТ для каждой цели/сервера свой, занято пока > что только 102 адреса. Это при том что сюда входят незанятые > в ДМЗ адреса. У меня всего один роутер :) Так что всё прозаичнее. Попробовал, адрес лупбэку само собой выдался. Но вот криптомапу source interface задать не смог - нет такой команды... В итоге на другой стороне sa создаётся с адресом моего gi0/0.25, то есть шлюза для DMZ. Трафик не пошёл, потому что пока не понятно куда маршрутизировать его. Может попрытаться создать tunnel вместо loopback + crypto map? Это лучше? Возможно?
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Cisco3825 BGP+IPSec vpn"	+/–
	Сообщение от ShyLion (ok) on 05-Май-14, 09:32
	> Но вот криптомапу source interface задать не смог - нет такой команды... crypto map OUTSIDE local-address Loopback1 > В итоге на другой стороне sa создаётся с адресом моего gi0/0.25, то > есть шлюза для DMZ. > Трафик не пошёл, потому что пока не понятно куда маршрутизировать его. > Может попрытаться создать tunnel вместо loopback + crypto map? > Это лучше? Возможно? Если с обеих концов кисы, то туннельные интерфейсы всяко предпочтительней, с соурсом лупбека. Криптомап тогда будет создан динамически. Через туннели нормально работают протоколы маршрутизации.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Cisco3825 BGP+IPSec vpn"	+/–
	Сообщение от star117 (ok) on 05-Май-14, 18:15
	>> Но вот криптомапу source interface задать не смог - нет такой команды... > crypto map OUTSIDE local-address Loopback1 >> В итоге на другой стороне sa создаётся с адресом моего gi0/0.25, то >> есть шлюза для DMZ. >> Трафик не пошёл, потому что пока не понятно куда маршрутизировать его. >> Может попрытаться создать tunnel вместо loopback + crypto map? >> Это лучше? Возможно? > Если с обеих концов кисы, то туннельные интерфейсы всяко предпочтительней, с соурсом > лупбека. Криптомап тогда будет создан динамически. > Через туннели нормально работают протоколы маршрутизации. У меня на другой стороне DLink :( В любом случае, спасибо тебе большое, добрый ты человек!
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "Cisco3825 BGP+IPSec vpn"	+/–
	Сообщение от ShyLion (??) on 05-Май-14, 20:23
	>[оверквотинг удален] >>> В итоге на другой стороне sa создаётся с адресом моего gi0/0.25, то >>> есть шлюза для DMZ. >>> Трафик не пошёл, потому что пока не понятно куда маршрутизировать его. >>> Может попрытаться создать tunnel вместо loopback + crypto map? >>> Это лучше? Возможно? >> Если с обеих концов кисы, то туннельные интерфейсы всяко предпочтительней, с соурсом >> лупбека. Криптомап тогда будет создан динамически. >> Через туннели нормально работают протоколы маршрутизации. > У меня на другой стороне DLink :( > В любом случае, спасибо тебе большое, добрый ты человек! Так получилось в итоге? Если нет команды crypto map ... Local-address, подумай насчет смены ios, это не больно
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "Cisco3825 BGP+IPSec vpn"	+/–
	Сообщение от star117 (ok) on 06-Май-14, 05:29
	>[оверквотинг удален] >>>> Трафик не пошёл, потому что пока не понятно куда маршрутизировать его. >>>> Может попрытаться создать tunnel вместо loopback + crypto map? >>>> Это лучше? Возможно? >>> Если с обеих концов кисы, то туннельные интерфейсы всяко предпочтительней, с соурсом >>> лупбека. Криптомап тогда будет создан динамически. >>> Через туннели нормально работают протоколы маршрутизации. >> У меня на другой стороне DLink :( >> В любом случае, спасибо тебе большое, добрый ты человек! > Так получилось в итоге? Если нет команды crypto map ... Local-address, подумай > насчет смены ios, это не больно Да, всё получилось! Команда local-address есть, просто я искал source interface и не находил. Спасибо тебе большое :)
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема