Привет Всем. Будьте добры подскажите, а то что-то я не допонимаю.Есть примтивная схема:
Lan (192.168.1.0) -> Switch (192.168.1.1) ->Router(192.168.1.100 - S1 ???)
и соответственно зеркало
Lan (192.168.2.0) -> Switch (192.168.2.1) ->Router(192.168.2.100 - S0 ???)
Мне нужно через Интернет создать IPSec туннель.
Соответственно я понимаю , у меня должны быть два Реальных IP, с одной стороны и сдругой.
Пусть будут : 220.220.220.201 - S1 и S0 - 220.220.220.200
Вопрос:
Set peer - адрес другого маршрутизатора - Это IP адрес interface Tunel0 и Tunel1(которые надо создавать? просто у меня нету такой возможности, я пишу interf tunnel0 - Invalid comand) -
Т.е. любой типа 10.0.0.1 и 10.0.0.2
или надо прописать реальные IP адреса ?
Если нужно прописать реальные тогда такой вопрос:
Можно ли с помощью nat и access-list настроить хождения трафика, чтобы интернетовский шел в интернет а между локалками по IPSec.
Подскажите люди добрые:
PS: почему-то при такой конфигурации, у меня не идет пинг из одной подсети в другую, с компов,а со свитчей идет?
R1:
R_3640_#sh r
Building configuration...
!
Version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname R_3640_
enable secret 5 $sdf$6978yhg$jnb76sd
!
!
!
ip subnet-zero
!
!
!
!
crypto isakmp policy 10
authentication pre-share
!
crypto isakmp key asdf address 10.0.0.1
!
crypto ipsec security-association lifetime seconds 3000
!
crypto ipsec transform-set ipsec_nabor esp-des
!
crypto map name_map_ipsec_3640 1 ipsec-isakmp
set peer 10.0.0.2
set transform-set ipsec_nabor
match address 122
!
!
ip host router2 160.10.1.2
!
!
!
!
interface Serial1/0
ip address 10.0.0.1 255.255.255.252
no ip directed-broadcast
bandwidth 1544
crypto map name_map_ipsec_3640
!
interface FastEthernet0/0
ip address 192.168.1.100 255.255.255.0
no ip directed-broadcast
bandwidth 100000
!
!
router eigrp 111
redistribute IGRP 222
network 10.0.0.0
network 192.168.2.0
network 192.168.1.0
!
ip classless
no ip http server
access-list 122 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 122 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 122 permit ip host 10.0.0.1 host 10.0.0.2
access-list 122 permit ip host 10.0.0.2 host 10.0.0.1
access-list 122 deny ip any any
!
!
cdp holdtime 170
cdp timer 50
!
banner motd ^C
Welcome to Router1 - Authorized Users Only ^C
line con 0
login
transport input none
password boson
line aux 0
line vty 0 4
!
no scheduler allocate
R2:
R2620_#sh r
Building configuration...
!
Version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname R2620_
enable secret 5 $sdf$6978yhg$jnb76sd
!
!
!
ip subnet-zero
!
!
!
!
crypto isakmp policy 10
authentication pre-share
!
crypto isakmp key asdf address 10.0.0.1
!
!
crypto ipsec transform-set ipsec_r2620 esp-des
!
crypto map name_map_ipsec_2620 1 ipsec-isakmp
set peer 10.0.0.1
set transform-set ipsec_r2620
match address 122
!
!
!
!
!
!
!
interface Serial1
ip address 10.0.0.2 255.255.255.252
no ip directed-broadcast
bandwidth 1544
crypto map name_map_ipsec_2620
!
interface FastEthernet0/0
ip address 192.168.2.100 255.255.255.0
no ip directed-broadcast
bandwidth 100000
!
!
router eigrp 111
redistribute IGRP 222
network 10.0.0.0
network 192.168.1.0
network 192.168.2.0
!
ip classless
no ip http server
access-list 122 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 122 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 122 permit ip host 10.0.0.2 host 10.0.0.1
access-list 122 permit ip host 10.0.0.1 host 10.0.0.2
access-list 122 deny ip any any log
!
!
!
line con 0
transport input none
line aux 0
line vty 0 4
login
password cisco
!
no scheduler allocate
end
PS2:
Clock rate 56000 - почему-то не отображается, хотя выствлял
R2620_(config)#int s1
R2620_(config-if)#clock rate 56000
R2620_(config-if)#no shutdown
PS3:
Извините если что не так
Версия для распечатки
IPSec тунель - Netsim 6.0,
damianAVS, 27-Янв-08, 09:44
[смотреть все]
