Доброго времени суток, коллеги!Ситуация: было 3 провайдера отдельных, стало - те же и BGP(свой PI-блок); было понятное подключение филиала по IPSec VPN, стало - ... непонятно как это реализовывать теперь.
До появления BGP достаточно было прописать во внешнем интерфейсе:
...
crypto map DFL260E
...Теперь же не понимаю в какой интерфейс сие прописать чтобы IPSec устанавливался.
Буду рад любой помощи, но лучше бы кусок работающего конфига, или ссылку на статью чётко по моей ситуации.
>[оверквотинг удален]
> Ситуация: было 3 провайдера отдельных, стало - те же и BGP(свой PI-блок);
> было понятное подключение филиала по IPSec VPN, стало - ... непонятно
> как это реализовывать теперь.
> До появления BGP достаточно было прописать во внешнем интерфейсе:
> ...
> crypto map DFL260E
> ...
> Теперь же не понимаю в какой интерфейс сие прописать чтобы IPSec устанавливался.
> Буду рад любой помощи, но лучше бы кусок работающего конфига, или ссылку
> на статью чётко по моей ситуации.Делаешь лупбек с адресом из PI, криптомап вешаешь на линки с оператором. В свойствах криптомапа задай сорсом лупбек.
>[оверквотинг удален]
>> как это реализовывать теперь.
>> До появления BGP достаточно было прописать во внешнем интерфейсе:
>> ...
>> crypto map DFL260E
>> ...
>> Теперь же не понимаю в какой интерфейс сие прописать чтобы IPSec устанавливался.
>> Буду рад любой помощи, но лучше бы кусок работающего конфига, или ссылку
>> на статью чётко по моей ситуации.
> Делаешь лупбек с адресом из PI, криптомап вешаешь на линки с оператором.
> В свойствах криптомапа задай сорсом лупбек.Вот тут закавыка - у меня уже есть интерфейс с адресом из PI-блока (шлюз для DMZ), в итоге при попытке установить адрес для Loopback-интерфейса получаю ошибку "% xx.xx.xx.7 overlaps with GigabitEthernet0/0.25".
Как в этой ситуации поступить?
> Вот тут закавыка - у меня уже есть интерфейс с адресом из
> PI-блока (шлюз для DMZ), в итоге при попытке установить адрес для
> Loopback-интерфейса получаю ошибку "% xx.xx.xx.7 overlaps with GigabitEthernet0/0.25".
> Как в этой ситуации поступить?Какого размера PI? Сколько отдал на gi0/0.25 ?
Лупбеку достаточно одного /32 адреса.
>> Вот тут закавыка - у меня уже есть интерфейс с адресом из
>> PI-блока (шлюз для DMZ), в итоге при попытке установить адрес для
>> Loopback-интерфейса получаю ошибку "% xx.xx.xx.7 overlaps with GigabitEthernet0/0.25".
>> Как в этой ситуации поступить?
> Какого размера PI? Сколько отдал на gi0/0.25 ?
> Лупбеку достаточно одного /32 адреса.PI/24 - 255 адресов.
На gi0/0.25 повесил один первый адрес диапазона (xx.xx.xx.1 255.255.255.0)
На лупбэке пробовал прописать xx.xx.xx.7 255.255.255.255 - не проходит.
>>> Вот тут закавыка - у меня уже есть интерфейс с адресом из
>>> PI-блока (шлюз для DMZ), в итоге при попытке установить адрес для
>>> Loopback-интерфейса получаю ошибку "% xx.xx.xx.7 overlaps with GigabitEthernet0/0.25".
>>> Как в этой ситуации поступить?
>> Какого размера PI? Сколько отдал на gi0/0.25 ?
>> Лупбеку достаточно одного /32 адреса.
> PI/24 - 255 адресов.
> На gi0/0.25 повесил один первый адрес диапазона (xx.xx.xx.1 255.255.255.0)
> На лупбэке пробовал прописать xx.xx.xx.7 255.255.255.255 - не проходит.Ты ВЕСЬ PI на один интерфейс повесил? Ну ты даешь. А с какой целью?
>[оверквотинг удален]
>>>> PI-блока (шлюз для DMZ), в итоге при попытке установить адрес для
>>>> Loopback-интерфейса получаю ошибку "% xx.xx.xx.7 overlaps with GigabitEthernet0/0.25".
>>>> Как в этой ситуации поступить?
>>> Какого размера PI? Сколько отдал на gi0/0.25 ?
>>> Лупбеку достаточно одного /32 адреса.
>> PI/24 - 255 адресов.
>> На gi0/0.25 повесил один первый адрес диапазона (xx.xx.xx.1 255.255.255.0)
>> На лупбэке пробовал прописать xx.xx.xx.7 255.255.255.255 - не проходит.
> Ты ВЕСЬ PI на один интерфейс повесил? Ну ты даешь. А с
> какой целью?Хороший вопрос:)
Я считал что повесил всего лишь один адрес! Ведь сервера с адресами xx.xx.xx.2 и так далее трафик через шлюз xx.xx.xx.1 пересылают.
Или в данном случае обычные правила адресов и масок не работают?
>[оверквотинг удален]
>>>> Лупбеку достаточно одного /32 адреса.
>>> PI/24 - 255 адресов.
>>> На gi0/0.25 повесил один первый адрес диапазона (xx.xx.xx.1 255.255.255.0)
>>> На лупбэке пробовал прописать xx.xx.xx.7 255.255.255.255 - не проходит.
>> Ты ВЕСЬ PI на один интерфейс повесил? Ну ты даешь. А с
>> какой целью?
> Хороший вопрос:)
> Я считал что повесил всего лишь один адрес! Ведь сервера с адресами
> xx.xx.xx.2 и так далее трафик через шлюз xx.xx.xx.1 пересылают.
> Или в данном случае обычные правила адресов и масок не работают?Все работает, только у тебя что, 250 серверов в одной дмз?
>[оверквотинг удален]
>>>> PI/24 - 255 адресов.
>>>> На gi0/0.25 повесил один первый адрес диапазона (xx.xx.xx.1 255.255.255.0)
>>>> На лупбэке пробовал прописать xx.xx.xx.7 255.255.255.255 - не проходит.
>>> Ты ВЕСЬ PI на один интерфейс повесил? Ну ты даешь. А с
>>> какой целью?
>> Хороший вопрос:)
>> Я считал что повесил всего лишь один адрес! Ведь сервера с адресами
>> xx.xx.xx.2 и так далее трафик через шлюз xx.xx.xx.1 пересылают.
>> Или в данном случае обычные правила адресов и масок не работают?
> Все работает, только у тебя что, 250 серверов в одной дмз?Нет конечно :)
Но давай по вопросу. Мне нужно увеличить маску на gi0/0.25, чтобы мочь выдать адрес для лупбека?
> Нет конечно :)
> Но давай по вопросу. Мне нужно увеличить маску на gi0/0.25, чтобы мочь
> выдать адрес для лупбека?Ну конечно.
Не знаю какая у тебя архитектура сети.
У нас в компании, в сети где 2000 хостов, три роутера имеют адреса из PI /24, линки между ними, лупбеки, несколько разных DMZ, куча отдельных адресов под НАТ для каждой цели/сервера свой, занято пока что только 102 адреса. Это при том что сюда входят незанятые в ДМЗ адреса.
>> Нет конечно :)
>> Но давай по вопросу. Мне нужно увеличить маску на gi0/0.25, чтобы мочь
>> выдать адрес для лупбека?
> Ну конечно.
> Не знаю какая у тебя архитектура сети.
> У нас в компании, в сети где 2000 хостов, три роутера имеют
> адреса из PI /24, линки между ними, лупбеки, несколько разных DMZ,
> куча отдельных адресов под НАТ для каждой цели/сервера свой, занято пока
> что только 102 адреса. Это при том что сюда входят незанятые
> в ДМЗ адреса.У меня всего один роутер :) Так что всё прозаичнее.
Попробовал, адрес лупбэку само собой выдался.
Но вот криптомапу source interface задать не смог - нет такой команды...
В итоге на другой стороне sa создаётся с адресов моего gi0/0.25, то есть шлюза для DMZ.
Трафик не пошёл, потому что пока не понятно куда маршрутизировать его.
Может попрытаться создать tunnel вместо loopback + crypto map?
Это лучше? Возможно?
> Но вот криптомапу source interface задать не смог - нет такой команды...crypto map OUTSIDE local-address Loopback1
> В итоге на другой стороне sa создаётся с адресом моего gi0/0.25, то
> есть шлюза для DMZ.
> Трафик не пошёл, потому что пока не понятно куда маршрутизировать его.
> Может попрытаться создать tunnel вместо loopback + crypto map?
> Это лучше? Возможно?Если с обеих концов кисы, то туннельные интерфейсы всяко предпочтительней, с соурсом лупбека. Криптомап тогда будет создан динамически.
Через туннели нормально работают протоколы маршрутизации.
>> Но вот криптомапу source interface задать не смог - нет такой команды...
> crypto map OUTSIDE local-address Loopback1
>> В итоге на другой стороне sa создаётся с адресом моего gi0/0.25, то
>> есть шлюза для DMZ.
>> Трафик не пошёл, потому что пока не понятно куда маршрутизировать его.
>> Может попрытаться создать tunnel вместо loopback + crypto map?
>> Это лучше? Возможно?
> Если с обеих концов кисы, то туннельные интерфейсы всяко предпочтительней, с соурсом
> лупбека. Криптомап тогда будет создан динамически.
> Через туннели нормально работают протоколы маршрутизации.У меня на другой стороне DLink :(
В любом случае, спасибо тебе большое, добрый ты человек!
>[оверквотинг удален]
>>> В итоге на другой стороне sa создаётся с адресом моего gi0/0.25, то
>>> есть шлюза для DMZ.
>>> Трафик не пошёл, потому что пока не понятно куда маршрутизировать его.
>>> Может попрытаться создать tunnel вместо loopback + crypto map?
>>> Это лучше? Возможно?
>> Если с обеих концов кисы, то туннельные интерфейсы всяко предпочтительней, с соурсом
>> лупбека. Криптомап тогда будет создан динамически.
>> Через туннели нормально работают протоколы маршрутизации.
> У меня на другой стороне DLink :(
> В любом случае, спасибо тебе большое, добрый ты человек!Так получилось в итоге? Если нет команды crypto map ... Local-address, подумай насчет смены ios, это не больно
>[оверквотинг удален]
>>>> Трафик не пошёл, потому что пока не понятно куда маршрутизировать его.
>>>> Может попрытаться создать tunnel вместо loopback + crypto map?
>>>> Это лучше? Возможно?
>>> Если с обеих концов кисы, то туннельные интерфейсы всяко предпочтительней, с соурсом
>>> лупбека. Криптомап тогда будет создан динамически.
>>> Через туннели нормально работают протоколы маршрутизации.
>> У меня на другой стороне DLink :(
>> В любом случае, спасибо тебе большое, добрый ты человек!
> Так получилось в итоге? Если нет команды crypto map ... Local-address, подумай
> насчет смены ios, это не больноДа, всё получилось!
Команда local-address есть, просто я искал source interface и не находил.
Спасибо тебе большое :)