URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 6804
[ Назад ]

Исходное сообщение
"просьба помочь разобраться с туннелем..."

Отправлено chart , 10-Дек-04 18:56 
есть два оффиса, оба выходят в инет через свои прокси...задача, построить между оффисами туннель для связи серверов и сохранить выход в инет..

вариант 1

crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 95.95.95.2
!
crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!
crypto map rtp 1 ipsec-isakmp
set peer 95.95.95.2
set transform-set rtpset
match address 115
!
interface Ethernet0/0
ip address 98.98.98.1 255.255.255.0
no ip directed-broadcast
!
interface Ethernet0/1
ip address 99.99.99.2 255.255.255.0
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
crypto map rtp

-------------------------------------
вариант 2

crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 95.95.95.2
!
crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!
crypto map rtp 1 ipsec-isakmp
set peer 95.95.95.2
set transform-set rtpset
match address 115
!
interface Tunnel0
ip address 192.168.1.2 255.255.255.252
ip broadcast-address 192.168.1.3
ip route-cache same-interface
tunnel source Serial0
tunnel destination S0 -другого рутера
tunnel mode ipip
crypto map rtp

interface Ethernet0/0
ip address 98.98.98.1 255.255.255.0
no ip directed-broadcast
!
interface Ethernet0/1
ip address 99.99.99.2 255.255.255.0
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
crypto map rtp

-------------------------------

если честно я не очень понимаю значение Tunnel0, в варианте 1 уст.шифров канал на весь трафик? а во втором образуется шифров.канал (tunnel0)тоесть как бы отдельно от всего тафика?


Содержание

Сообщения в этом обсуждении
"просьба помочь разобраться с туннелем..."
Отправлено ВОЛКА , 10-Дек-04 21:36 
2 вариант, простота конфигураци + можно поднять динамическую маршрутизацию между офисами.
минус только в том, что увеличиться на 24 байта оверхед


"просьба помочь разобраться с туннелем..."
Отправлено AlexDv , 11-Дек-04 01:30 
Лишний интерфейс (туннель) - проще?
Маршрутизация - BGP через IPSEC (с приватной AS)?

"просьба помочь разобраться с туннелем..."
Отправлено chart , 14-Дек-04 12:24 
построил канал (Tunnel1)смаршрутизил сети обоих оффисов друг на друга,  сделал чтоб коннекторы Exchange работали по каналу...
и все вроде работает...
НО!!!
когда из одного оффиса в другой по каналу идет письмо размером 1 мег.
то время пинга time=3500-4500 или timeout , потом связ восстанавливается...
С этим сто то можно сделать, потому что если допустим почты будет много то канал вообще ляжет и сообветствено exchange будет считать что канал лежит.......

В одном оффисе подано 128к в другом 64к, этого достаточно?

Спасибо    


"просьба помочь разобраться с туннелем..."
Отправлено ВОЛКА , 14-Дек-04 12:35 
полностью настройки покажите...

"просьба помочь разобраться с туннелем..."
Отправлено chart , 14-Дек-04 13:01 
первый маршрутизатор..    (я рассматривал int Tunnel1 но и с Tunnel0 такая же проблема....помогите пожалуйста разобраться....

центр.офис 2610
филиалы 805
---------------------------------------------------
центр оффис

ip cef
ip name-server 217.69.192.135
ip name-server 217.69.192.133
ip audit notify log
ip audit po max-events 100
ip ssh break-string
no ftp-server write-enable
!
!
crypto isakmp policy 10
authentication pre-share
!
crypto isakmp policy 100
hash md5
authentication pre-share
crypto isakmp key RAUDTEE address 194.85.147.54
crypto isakmp key ciscokey1 address 82.148.136.210
!
!
crypto ipsec transform-set rootcisco esp-3des esp-md5-hmac
crypto ipsec transform-set MSK1 esp-des esp-md5-hmac
!
crypto map rootcisco 101 ipsec-isakmp
set peer 194.85.147.54
set transform-set rootcisco
match address 102
!
!
crypto map MSK1 10 ipsec-isakmp
set peer 82.148.136.210
set transform-set MSK1
match address 101
!
!
interface Tunnel0
ip address 192.168.1.1 255.255.255.252
ip broadcast-address 192.168.1.3
ip mtu 1420
ip route-cache same-interface
ip route-cache flow
logging event subif-link-status
keepalive 5 4
tunnel source 217.69.223.6
tunnel destination 194.85.147.54
tunnel mode ipip
crypto map rootcisco
!
interface Tunnel1
ip address 192.168.2.1 255.255.255.252
tunnel source 217.69.223.6
tunnel destination 82.142.136.210
crypto map MSK1
!
interface FastEthernet0/0
ip address 10.10.221.251 255.255.255.0 secondary
ip address 217.69.213.213 255.255.255.252 secondary
ip address 10.1.1.1 255.255.255.0 secondary
ip address 217.69.220.222 255.255.255.252
ip nat inside
logging event subif-link-status
speed auto
full-duplex
no mop enabled
!
interface Serial0/0
ip address 217.69.223.6 255.255.255.252
  ip nat outside
no fair-queue
crypto map MSK1
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1
no ip address
shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 217.69.223.5
ip route 10.10.223.0 255.255.255.0 Tunnel1
ip route 10.10.224.0 255.255.255.192 Tunnel0
ip route 217.69.213.212 255.255.255.252 Serial0/0
!
no ip http server
no ip http secure-server
!
!
logging history debugging
logging facility local6
logging source-interface Serial0/0
logging 10.10.221.250
access-list 101 permit gre 10.10.221.0 0.0.0.255 10.10.223.0 0.0.0.255
access-list 102 permit ip 10.10.221.0 0.0.0.255 10.10.224.0 0.0.0.255

access-list 103 permit ip any any


--------------------------------------------------------------------
второй маршрутизатор

!
clock timezone Msk 3
ip subnet-zero
!
ip name-server 194.85.129.80
ip name-server 194.85.128.10
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key ciscokey address 217.69.223.6
!
!
crypto ipsec transform-set MSK1 esp-des esp-md5-hmac
!
crypto map vpn1 10 ipsec-isakmp
set peer 217.69.223.6
set transform-set MSK1
match address 101
!
!
!
!
interface Tunnel1
ip address 192.168.2.2 255.255.255.252
no keepalive
tunnel source 82.142.136.210
tunnel destination 217.69.223.6
crypto map vpn1
!
interface Ethernet0
ip address 10.10.223.3 255.255.255.0 secondary
ip address 62.105.133.113 255.255.255.252
ip nat inside
no keepalive
!
interface Serial0
ip address 82.142.136.210 255.255.255.252
ip nat outside
crypto map vpn1
!
ip nat inside source static tcp 10.10.223.5 30020 82.142.136.210 30020 extendable
ip nat inside source static tcp 10.10.223.5 30021 82.142.136.210 30021 extendable
ip nat inside source static tcp 10.10.223.5 31000 82.142.136.210 31000 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 82.142.136.209
ip route 10.10.221.0 255.255.255.0 Tunnel1
no ip http server
ip pim bidir-enable
!
!
access-list 101 permit gre 10.10.223.0 0.0.0.255 10.10.221.0 0.0.0.255
!


"просьба помочь разобраться с туннелем..."
Отправлено chart , 14-Дек-04 16:51 
идут постоянные потери...что сделать?
подскажите..


"просьба помочь разобраться с туннелем..."
Отправлено Сайко , 14-Дек-04 17:01 
Потери чего?

"просьба помочь разобраться с туннелем..."
Отправлено chart , 14-Дек-04 17:06 
когда по каналу передается скажем почта или просто переписывается файл размер 1-1.5 мега задержки 3500ms или timeout , потом все оживает...из за чего это происходит немогу понять..
Тоесть если стоит в почтовой очереди 4-5 мегов то канал практически не работает......и как следствие начинает съезжать exchange

"просьба помочь разобраться с туннелем..."
Отправлено Сайко , 14-Дек-04 17:13 
Я как раз считал что почта это не приоритетный трафик.
Все это происходит от безобразия TCP.
Вам нужно организовать policy, например CBWFQ.

"просьба помочь разобраться с туннелем..."
Отправлено chart , 14-Дек-04 17:29 
конечно я сейчас посмотрю на ciscocom , ....но немогли бы вы хотябы в двух словах теорию......
тоесть с помощью организации policy задаются приоритеты по трафику??

"просьба помочь разобраться с туннелем..."
Отправлено Сайко , 14-Дек-04 17:34 
В двух словах не получится, вот ссылка:
Configuring CBWFQ for IPSec VPN
http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns109/ne...

Надеюсь поможет...


"просьба помочь разобраться с туннелем..."
Отправлено chart , 14-Дек-04 17:41 
>В двух словах не получится, вот ссылка:
>Configuring CBWFQ for IPSec VPN
>http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns109/ne...
>
>Надеюсь поможет...

спасибо сейчас начну изучение....
    p.s. спасибо за помощь...
  


"просьба помочь разобраться с туннелем..."
Отправлено ВОЛКА , 14-Дек-04 17:30 
канал маленький, поэтому никакой QoS вам особо не поможет...
http://www.cisco.com/en/US/tech/tk652/tk701/technologies_con...
можете попробовать настроить LLQ or CBWFQ

"просьба помочь разобраться с туннелем..."
Отправлено chart , 14-Дек-04 17:40 
>канал маленький, поэтому никакой QoS вам особо не поможет...
>http://www.cisco.com/en/US/tech/tk652/tk701/technologies_con...
>можете попробовать настроить LLQ or CBWFQ

  да, уже читаю доку...огромное вам спасибо..
  


"просьба помочь разобраться с туннелем..."
Отправлено Сайко , 14-Дек-04 18:11 
А если не секрет - то начиная с каких бэндвисей можно пользоваться QoS? ;)