URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19048
[ Назад ]

Исходное сообщение
"Объединение филиалов"

Отправлено dept , 11-Июн-09 08:19 
Добрый день.
Прошу помощи и подсказать.
Требуется объединить офисы имеется следующее оборудование, компы одной сети недолжны видеть компы другой но заходить на них по имени или по IP..
Cisco 2811 – Центральный офис
Cisco 1841 – офис2
Cisco 877 – Участок1
Cisco 877 – Участок2
Cisco 877 – Участок3
Сейчас канал поднят только с одним участком.
Конфиг 2811
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname CO-VPN
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-3508797125
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3508797125
revocation-check none
rsakeypair TP-self-signed-3508797125
!
!
crypto pki certificate chain TP-self-signed-3508797125
certificate self-signed 01
          quit
dot11 syslog
!
!
ip cef
!
!
ip domain name tr.local
!
multilink bundle-name authenticated
!
!
voice-card 0
no dspfarm
!
!
crypto isakmp policy 100
encr aes
hash md5
authentication pre-share
group 2
crypto isakmp key 6 cisco address 192.168.100.6
!
!
crypto ipsec transform-set PEERS esp-aes esp-md5-hmac
!
crypto map IPSEC 300 ipsec-isakmp
set peer 192.168.100.6
set security-association idle-time 600
set transform-set PEERS
set pfs group1
match address ACL_GRE
!
archive
log config
  hidekeys
!
!
!
!
!
!
interface Tunnel0
ip address 1.1.1.1 255.255.255.252
no ip redirects
tunnel source 192.168.100.2
tunnel destination 192.168.100.6
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
no snmp trap link-status
!
interface FastEthernet0/0.14
description INTERNET_SINTERA-URAL
encapsulation dot1Q 14
ip address XXX.XXX.XXX.XXX 255.255.255.240
ip nat outside
ip virtual-reassembly
shutdown
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1/0
switchport access vlan 100
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!
interface GigabitEthernet0/0/0
description CO-LOCAL
ip address 10.1.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
negotiation auto
!
interface Vlan1
no ip address
!
interface Vlan2
no ip address
!
interface Vlan100
description OFFICE1_Yugorskya_VPN
ip address 192.168.100.2 255.255.255.252
crypto map IPSEC
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.1.1.1
ip route 10.1.2.0 255.255.255.0 Tunnel0
ip route 192.168.100.4 255.255.255.252 192.168.100.1
!
!
no ip http server
no ip http secure-server
!
ip access-list extended ACL_GRE
permit gre host 1.1.1.1 host 1.1.1.2
!
!
control-plane
!
line con 0
login local
line aux 0
line vty 0 4
exec-timeout 0 0
login local
transport input telnet ssh
line vty 5 15
login local
transport input ssh
!
scheduler allocate 20000 1000
!
End

Конфиг 877
Current configuration : 3523 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Office2
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-2333995018
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2333995018
revocation-check none
rsakeypair TP-self-signed-2333995018
!
!
crypto pki certificate chain TP-self-signed-2333995018
certificate self-signed 01
         quit
dot11 syslog
ip cef
!
!
no ip domain lookup
ip domain name ar.local
!
multilink bundle-name authenticated
!
!
crypto isakmp policy 100
encr aes
hash md5
authentication pre-share
group 2  
crypto isakmp key 6 cisco address 192.168.100.2
!
!
crypto ipsec transform-set PEERS esp-aes esp-md5-hmac
!
crypto map IPSEC 300 ipsec-isakmp
set peer 192.168.100.2
set security-association idle-time 600
set transform-set PEERS
set pfs group1
match address ACL_GRE
!
archive
log config
  hidekeys
!
!
!
!
!
interface Tunnel0
ip address 1.1.1.2 255.255.255.252
tunnel source 192.168.100.6
tunnel destination 192.168.100.2
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
switchport access vlan 2
!
interface Vlan1
description OFFICE2_Local
ip address 10.1.2.254 255.255.255.0
!
interface Vlan2
description OFFICE2_Bezverhova_VPN
ip address 192.168.100.6 255.255.255.252
crypto map IPSEC
!
ip forward-protocol nd
ip route 10.1.1.0 255.255.255.0 Tunnel0
ip route 192.168.100.0 255.255.255.252 192.168.100.5
!
!
no ip http server
no ip http secure-server
!
ip access-list extended ACL_GRE
permit gre host 1.1.1.2 host 1.1.1.1
!
access-list 23 permit 10.10.10.0 0.0.0.7
no cdp run
!
!        
control-plane
!
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end


Содержание

Сообщения в этом обсуждении
"Объединение филиалов"
Отправлено sm00th1980 , 11-Июн-09 14:46 
Здравствуйте!

Будете задавать в подобном виде вопросы - всё что услышите в ответ - будет - готовы помочь за деньги.


"Объединение филиалов"
Отправлено dept , 11-Июн-09 14:53 
>Здравствуйте!
>
>Будете задавать в подобном виде вопросы - всё что услышите в ответ
>- будет - готовы помочь за деньги.

Понимаю на что вы намекаете...
Да VPN сам думаю построю мозгов думаю хватит проблема в том что необходимо оптимизировать конфиги и сети и вопрос в правильности выбора технологий..


"Объединение филиалов"
Отправлено valery12 , 11-Июн-09 15:25 
>Добрый день.
>Прошу помощи и подсказать.
>Требуется объединить офисы имеется следующее оборудование, компы одной сети недолжны видеть компы
>другой но заходить на них по имени или по IP..
>Cisco 2811 – Центральный офис
>Cisco 1841 – офис2
>Cisco 877 – Участок1
>Cisco 877 – Участок2
>Cisco 877 – Участок3
>Сейчас канал поднят только с одним участком.

А почему не хотите использовать DMVPN?
Cisco 2811 - Hub, остальные Spoke - вместо 24 туннелей, обойдетесь 5ю


"Объединение филиалов"
Отправлено dept , 11-Июн-09 15:28 
>[оверквотинг удален]
>>Cisco 2811 – Центральный офис
>>Cisco 1841 – офис2
>>Cisco 877 – Участок1
>>Cisco 877 – Участок2
>>Cisco 877 – Участок3
>>Сейчас канал поднят только с одним участком.
>
>А почему не хотите использовать DMVPN?
>Cisco 2811 - Hub, остальные Spoke - вместо 24 туннелей, обойдетесь 5ю
>

Если честно то несовсем понимаю как правильно настроить DMVPN в моём случае.
Я много искал информации .. Ту которую нашол несовсем мне подходит... хотя скорее всего я неправильно что то настраивал..
Если несложно поделитесь опытом и подскажите как поднять DMVPN


"Объединение филиалов"
Отправлено valery12 , 11-Июн-09 15:36 
>[оверквотинг удален]
>>
>>А почему не хотите использовать DMVPN?
>>Cisco 2811 - Hub, остальные Spoke - вместо 24 туннелей, обойдетесь 5ю
>>
>
>Если честно то несовсем понимаю как правильно настроить DMVPN в моём случае.
>
>Я много искал информации .. Ту которую нашол несовсем мне подходит... хотя
>скорее всего я неправильно что то настраивал..
>Если несложно поделитесь опытом и подскажите как поднять DMVPN

на сайте cisco масса примеров
что то типа

hostname Hub
!
crypto isakmp policy 1
authentication pre−share
crypto isakmp key cisco47 address 0.0.0.0
!
crypto ipsec transform−set trans2 esp−des esp−md5−hmac
mode transport
!
crypto ipsec profile vpnprof
set transform−set trans2
!
interface Tunnel0
bandwidth 1000
ip address 10.0.0.1 255.255.255.0
ip mtu 1400
ip nhrp authentication test
ip nhrp map multicast dynamic
ip nhrp network−id 100000
ip nhrp holdtime 600
no ip split−horizon eigrp 1
delay 1000
tunnel source Ethernet0
tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile vpnprof
!

hostname Spoke1
!
crypto isakmp policy 1
authentication pre−share
crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform−set trans2 esp−des esp−md5−hmac
mode transport
!
crypto ipsec profile vpnprof
set transform−set trans2
!
interface Tunnel0
bandwidth 1000
ip address 10.0.0.2 255.255.255.0
ip mtu 1400
ip nhrp authentication test
ip nhrp map 10.0.0.1 172.17.0.1
ip nhrp network−id 100000
ip nhrp holdtime 300
ip nhrp nhs 10.0.0.1
delay 1000
tunnel source Ethernet0
tunnel destination 172.17.0.1
tunnel key 100000
tunnel protection ipsec profile vpnprof
!

hostname Spoke2
!
crypto isakmp policy 1
authentication pre−share
crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform−set trans2 esp−des esp−md5−hmac
mode transport
!
crypto ipsec profile vpnprof
set transform−set trans2
!
interface Tunnel0
bandwidth 1000
ip address 10.0.0.3 255.255.255.0
ip mtu 1400
ip nhrp authentication test
ip nhrp map 10.0.0.1 172.17.0.1
ip nhrp network−id 100000
ip nhrp holdtime 300
ip nhrp nhs 10.0.0.1
delay 1000
tunnel source Ethernet0
tunnel destination 172.17.0.1
tunnel key 100000
tunnel protection ipsec profile vpnprof
!


"Объединение филиалов"
Отправлено dept , 11-Июн-09 15:46 
>[оверквотинг удален]
>ip nhrp map 10.0.0.1 172.17.0.1
>ip nhrp network−id 100000
>ip nhrp holdtime 300
>ip nhrp nhs 10.0.0.1
>delay 1000
>tunnel source Ethernet0
>tunnel destination 172.17.0.1
>tunnel key 100000
>tunnel protection ipsec profile vpnprof
>!

Вот тут и пошли вопросы...
Мне провайдер строит IPVPN и даёт мне 30 подсеть на каждую точку.. В таком случае и непонимаю как строить HUB.


"Объединение филиалов"
Отправлено valery12 , 15-Июн-09 09:15 
>[оверквотинг удален]
>>delay 1000
>>tunnel source Ethernet0
>>tunnel destination 172.17.0.1
>>tunnel key 100000
>>tunnel protection ipsec profile vpnprof
>>!
>
>Вот тут и пошли вопросы...
>Мне провайдер строит IPVPN и даёт мне 30 подсеть на каждую точку..
>В таком случае и непонимаю как строить HUB.

Об этом речи не было, я говорил как связать филиалы через открытый интернет,
тогда вот мой пример (правда я использую OSPF) - провайдер дает подсети на каждый туннель 192.168.0.0, 192.168.0.4, 192.168.0.8 и т.д.
на HUB адрес 192.168.0.2 шлюз 192.168.0.1
добавить маршрут ip route 192.168.0.0 255.255.255.0 192.168.0.1
на SPOKE адрес 192.168.0.6 шлюз 192.168.0.5
добавить маршрут ip route 192.168.0.0 255.255.255.0 192.168.0.5

туннель на HUB
interface Tunnel20
ip address 10.0.0.1 255.255.255.0
no ip redirects
ip flow ingress
ip flow egress
ip nhrp authentication test
ip nhrp map multicast dynamic
ip nhrp network-id 100000
ip nhrp holdtime 360
no ip route-cache cef
ip ospf network broadcast
ip ospf priority 255
ip ospf mtu-ignore
delay 1000
qos pre-classify
tunnel source GigabitEthernet0/0.110
tunnel mode gre multipoint
tunnel key 100000

туннель на SPOKE
interface Tunnel20
ip address 10.0.0.2 255.255.255.0
no ip redirects
ip flow ingress
ip flow egress
ip nhrp authentication test
ip nhrp map multicast dynamic
ip nhrp map 10.0.0.1 192.168.0.2
ip nhrp map multicast 192.168.0.2
ip nhrp network-id 100000
ip nhrp holdtime 600
ip nhrp nhs 10.0.0.1
ip ospf network broadcast
ip ospf priority 0
ip ospf mtu-ignore
delay 1000
qos pre-classify
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 100000

и кстати в этом случае, если нет параноидальных настроений, трафик можно не шифровать, провайдер его и так шифрует