Здравствуйте, уважаемые Профессионалы.
Подскажите, как можно реализовать такую схему объединения сетей через различных поставщиков СПД?
SP1,...,SPn - это провайдеры.
SP0 - объединение по L2.
причем:
1. Все туннели должны быть зашифрованы (IPSec).
2. Желательно использование всех каналов (чтобы они не простаивали), но при отсутствии связи в каком-то из каналов - пакеты не должны теряется.
3. Также желательно, чтобы при падении одного из узлов (R1, R2, ..., Rn) остальные не теряли связь друг с другом (Все со всеми).
4. Возможно ли такое объединение, если у некоторых точек будут динамические IP?
5. Хотелось бы учесть и то, что в будущем планируется реализация QOS, Протоколы динамической маршрутизации и, возможно, Multicast.На данный момент реализована схема объединения со статической маршрутизацией и статическими Пирами IPSec через ACL, без GRE туннелей и без NAT.
Предлагаю продвигаться от общего к частному: Для начала описать общетеоретическую схему (что во что должно инкапсулироваться, какие технологии и оборудование, если указанного не достаточно, надо использовать), а затем, даст Бог, перейдем к конфигам.
Заранее благодарен.
>[оверквотинг удален]
>Протоколы динамической маршрутизации и, возможно, Multicast.
>
>На данный момент реализована схема объединения со статической маршрутизацией и статическими Пирами
>IPSec через ACL, без GRE туннелей и без NAT.
>
>Предлагаю продвигаться от общего к частному: Для начала описать общетеоретическую схему (что
>во что должно инкапсулироваться, какие технологии и оборудование, если указанного не
>достаточно, надо использовать), а затем, даст Бог, перейдем к конфигам.
>
>Заранее благодарен.посматрите в сторону DMVPN: http://www.cisco.com/en/US/tech/tk583/tk372/technologies_whi...
>посматрите в сторону DMVPN: http://www.cisco.com/en/US/tech/tk583/tk372/technologies_whi...Ага!
Очень похоже на вариант. Спасибо.
В связи с DMVPN несколько вопросов:
1. при реализации Dual HUB могут ли хабы находиться на удалении друг от друга (в разных подразделениях)?
2. При Dual DMVPN возможно ли обойтись одним хабом (реализовать два, или более, подключения к разным провайдерам на одном хабе)?
3. Можно ли реализовать подключение Spoke роутеров через более чем одного провайдера?
4. Если Хаб один и он недоступен для Spoke - связи между Spoke не будет?
5. Трафик Spoke-Spoke идет через Хаб или на прямую?
6. Если подключение через более чем одного провайдера возможно ли полное использование всех подключенных каналов на каждой точке?
7. При Dual DMVPN QOS реализуется на каждое облако отдельно?Есть ли альтернативные DMVPN варианты реализаций таких решений?
>[оверквотинг удален]
>3. Можно ли реализовать подключение Spoke роутеров через более чем одного провайдера?
>
>4. Если Хаб один и он недоступен для Spoke - связи между
>Spoke не будет?
>5. Трафик Spoke-Spoke идет через Хаб или на прямую?
>6. Если подключение через более чем одного провайдера возможно ли полное использование
>всех подключенных каналов на каждой точке?
>7. При Dual DMVPN QOS реализуется на каждое облако отдельно?
>
>Есть ли альтернативные DMVPN варианты реализаций таких решений?1. да могут, по краинеи мере можете делать статик ipsec туннель между хабами.
2. можно, сконфигурируите 2 туннелья на том же хабе с различными соурс ип/интерфеис.
3. да можно, путем того же логики хабов
4. не будет, так как nhrp сервер стоит на хабе (речь идет о инициализации туннелья, и если ип адреса динамические). по этому лутше постовить две хаба
5. если на споках вы сконфигурировали "tunnel mode gre multipoint" и "ip ospf network brodcast" то траффик поидет споке-споке
6. да, путем механизмов динамической маршрутизации
7. так понимаю что да.извеняюсь за мой русский язык, мне очень трудно написать.
Спасибо за ответ.>>2. При Dual DMVPN возможно ли обойтись одним хабом (реализовать два, или более, >>подключения к разным провайдерам на одном хабе)?
В этом случае нужны различные физические Ethernet интерфейсы или можно обойтись одним?
>>3. Можно ли реализовать подключение Spoke роутеров через более чем одного провайдера?
>3. да можно, путем того же логики хабовА можно ли такое подключение организовать, с использованием c881 в качестве Spoke?
На ней один Wan интерфейс.
>[оверквотинг удален]
>
>
>
>
>>>3. Можно ли реализовать подключение Spoke роутеров через более чем одного провайдера?
>>3. да можно, путем того же логики хабов
>
>А можно ли такое подключение организовать, с использованием c881 в качестве Spoke?
>
>На ней один Wan интерфейс.you may use sub-interface/vlan technology for logical separation of 2 and more links.
also you can use c881 swi interfaces for wan conection.
shortly, yes, in general this is possible, but it depends on details (for example may be you wont connect wan to swi ;) )
he Which? Switch service was clear, simple, easy to use and I'm set to save
[url=http://www.etruereligionjeans-store.com/]true religion for men and women[/url]
[url=http://www.etruereligionjeans-store.com/]true religion jeans sale[/url]
[url=http://www.etruereligionjeans-store.com/]true religion jeans[/url]
>посматрите в сторону DMVPN: http://www.cisco.com/en/US/tech/tk583/tk372/technologies_whi...Еще маленький, но важный вопросик:
Какой входящий трафик на внешних интерфейсах Hub и Spoke роутеров надо разрешить для нормальной работы DMVPN?
>>посматрите в сторону DMVPN: http://www.cisco.com/en/US/tech/tk583/tk372/technologies_whi...
>
>Еще маленький, но важный вопросик:
>Какой входящий трафик на внешних интерфейсах Hub и Spoke роутеров надо разрешить
>для нормальной работы DMVPN?ip protocol 47 (gre), 50 (esp) 51 (ah), udp 500 (isakmp) (esli u vas nat to udp 4500 (ipsec-nat-t))
>>>посматрите в сторону DMVPN: http://www.cisco.com/en/US/tech/tk583/tk372/technologies_whi...
>>
>>Еще маленький, но важный вопросик:
>>Какой входящий трафик на внешних интерфейсах Hub и Spoke роутеров надо разрешить
>>для нормальной работы DMVPN?
>
>ip protocol 47 (gre), 50 (esp) 51 (ah), udp 500 (isakmp) (esli
>u vas nat to udp 4500 (ipsec-nat-t))Спасибо.
а что, 47 (gre) и 51 (ah) не шифроуются? идут открытыми между узлами?
не через isakmp?
>[оверквотинг удален]
>>>для нормальной работы DMVPN?
>>
>>ip protocol 47 (gre), 50 (esp) 51 (ah), udp 500 (isakmp) (esli
>>u vas nat to udp 4500 (ipsec-nat-t))
>
>Спасибо.
>
>а что, 47 (gre) и 51 (ah) не шифроуются? идут открытыми между
>узлами?
>не через isakmp?izvenjajus' chto na latine...
eto zaviset kuda vi crypto-map postavili... esli na vneshnei interfac to acl proverjajetsja 2 raza - pered i posle decrypta, smotrite zdes'.
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...
>[оверквотинг удален]
>>Спасибо.
>>
>>а что, 47 (gre) и 51 (ah) не шифроуются? идут открытыми между
>>узлами?
>>не через isakmp?
>
>izvenjajus' chto na latine...
>eto zaviset kuda vi crypto-map postavili... esli na vneshnei interfac to acl
>proverjajetsja 2 raza - pered i posle decrypta, smotrite zdes'.
>http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...ahh, u vas dmvpn ja upustil eto... togda udp 500 i ip 50 (ili esli spoke ili hub za natom to udp 4500)
Еще вопросик:
DMVPV настроен и работает.
Но: Если если перезагрузить HUB роутер туннели не поднимаются. На корневой роутер приходит сообщение о неверном ключе.
Я так понимаю что Spoke роутеры пытаются соединится с HUB роутером с новыми ключами полученными в процессе работы, а роутер ждет новые.
Помогает shutdown, no shutdown на туннельных интерфейсах spoke роутеров.
Это конечно не дело. Если канал на HUB роутере упадет связь сама не восстановится.
Как эту ситуацию побороть? Т.е. как заставить поднимать тунели автоматом при возобновлении связи?
>[оверквотинг удален]
> DMVPV настроен и работает.
> Но: Если если перезагрузить HUB роутер туннели не поднимаются. На корневой роутер
> приходит сообщение о неверном ключе.
> Я так понимаю что Spoke роутеры пытаются соединится с HUB роутером с
> новыми ключами полученными в процессе работы, а роутер ждет новые.
> Помогает shutdown, no shutdown на туннельных интерфейсах spoke роутеров.
> Это конечно не дело. Если канал на HUB роутере упадет связь сама
> не восстановится.
> Как эту ситуацию побороть? Т.е. как заставить поднимать тунели автоматом при возобновлении
> связи?на хабе и на споке
crypto isakmp invalid-spi-recovery
вроде помог мне
>[оверквотинг удален]
>> Я так понимаю что Spoke роутеры пытаются соединится с HUB роутером с
>> новыми ключами полученными в процессе работы, а роутер ждет новые.
>> Помогает shutdown, no shutdown на туннельных интерфейсах spoke роутеров.
>> Это конечно не дело. Если канал на HUB роутере упадет связь сама
>> не восстановится.
>> Как эту ситуацию побороть? Т.е. как заставить поднимать тунели автоматом при возобновлении
>> связи?
> на хабе и на споке
> crypto isakmp invalid-spi-recovery
> вроде помог мнеСписибо. Прописал. Надеюсь поможет и мне.
>> на хабе и на споке
>> crypto isakmp invalid-spi-recovery
>> вроде помог мне
> Списибо. Прописал. Надеюсь поможет и мне.Помог
crypto isakmp invalid-spi-recovery
вместе с
crypto isakmp keepalive 10 periodic
А какие порты мне нужно открыть если я хочу AES вместо 3DES использовать?у менс сейчас так:
crypto isakmp policy 2
encr aes
hash md5
authentication pre-share
group 2
crypto ipsec transform-set trans esp-3des esp-md5-hmac
crypto ipsec transform-set transAES ah-md5-hmac esp-aes
!
crypto ipsec profile vpn-profile
set transform-set trans
!
crypto ipsec profile vpn-profile-AES
set transform-set transAES
!
interface Tunnel0
...
tunnel source FastEthernet4
tunnel protection ipsec profile vpn-profile
!
interface FastEthernet4
...
ip access-group 170 in
____________
sh access-lists 170
Extended IP access list 170
30 permit esp any host xxx.xxx.xxx.xxx (5979288 matches)
40 permit udp any eq isakmp host xxx.xxx.xxx.xxx eq isakmp (781224 matches)sh cr en conn a
Crypto Engine ConnectionsID Interface Type Algorithm Encrypt Decrypt IP-Address
507 Tu0 IPsec 3DES+MD5 0 460 xxx.xxx.xxx.xxx
508 Tu0 IPsec 3DES+MD5 430 0 xxx.xxx.xxx.xxx
2763 Tu0 IKE MD5+AES 0 0 xxx.xxx.xxx.xxx
______________
т.е. Ключи по AES а трафик 3DES шифруется?Хочу трафик AES-ом шифровать.
Если в
interface Tunnel0
прописываю
tunnel protection ipsec profile vpn-profile-AES
то соединения устанавливаются, а трафик шифрованный не идет. В колонке Decrypt 0 пакетов.Если при этом снять с интерфейсов ip access-group 170 in - то шифрованный трафик начинает ходить.
Два вопроса:
1. Если я хочу шифровать трафик алгоритмом AES в правильном направлении я двигаюсь?
2. Какие порты надо открыть для AES?
>[оверквотинг удален]
> прописываю
> tunnel protection ipsec profile vpn-profile-AES
> то соединения устанавливаются, а трафик шифрованный не идет. В колонке Decrypt 0
> пакетов.
> Если при этом снять с интерфейсов ip access-group 170 in - то
> шифрованный трафик начинает ходить.
> Два вопроса:
> 1. Если я хочу шифровать трафик алгоритмом AES в правильном направлении я
> двигаюсь?
> 2. Какие порты надо открыть для AES?в acl 170 добавьте gre и ah так как acl на интерфейсе проверяется два раза если у вас есть крипто.
35 permit ah any host xxx.xxx.xxx.xxx
37 permit gre any host xxx.xxx.xxx.xxx
а алгоритм не имеет значение, для ipsec нужен ah, esp, udp 500 или udp 4500 в случаи nat
