форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Шифровать трафик между двумя 2600 Цысками"
Сообщение от deMan (??) on 12-Окт-04, 16:49  (MSK)
Помогите разобратса в ситуации. Нужно зашифровать трафик между двумя 2600 Цысками канал между ними спутниковый. Подняли между ними тунель, все маршрути, кроме маршрутов между реальными сетями,завернули в тунель настроили криптографию и повесии её на реальные адреса интерфейсов: Всё нормально sh crypto isakmp sa даёт dst src state ... Но это длитса некоторое время после чего криптография слетает. Возобновить сеанс криптования удаётса путём добавления в аксес листи криптования записи permit ip any any с последующим стираниям етой строки. Пробывал прописать на роутерах crypto isakmp keepalive 20 10 - безрезультатно. Подскажите в чём тут может быть проблема. Благодарен.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Шифровать трафик между двумя 2600 Цысками"
Сообщение от Corhaid (??) on 13-Окт-04, 02:53  (MSK)
>Помогите разобратса в ситуации. >Нужно зашифровать трафик между двумя 2600 Цысками канал между ними спутниковый. >Подняли между ними тунель, все маршрути, кроме маршрутов между реальными сетями,завернули в >тунель настроили криптографию и повесии её на реальные адреса интерфейсов: Всё >нормально sh crypto isakmp sa даёт dst src state ... Но >это длитса некоторое время после чего криптография слетает. >Возобновить сеанс криптования удаётса путём добавления в аксес листи криптования записи permit >ip any any с последующим стираниям етой строки. Пробывал прописать на >роутерах crypto isakmp keepalive 20 10 - безрезультатно. >Подскажите в чём тут может быть проблема. >Благодарен. Конфиг в студию плз. И еще, что значит слетает? не работает? Траффик по туннелю бегает? Что выдается по команде sh cry eng conn act?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Шифровать трафик между двумя 2600 Цысками"
	Сообщение от deMan (??) on 13-Окт-04, 16:21  (MSK)
	>Конфиг в студию плз. И еще, что значит слетает? не работает? Траффик >по туннелю бегает? Что выдается по команде sh cry eng conn act? Да трафик в тунеле есть я по телнету захожу на Цыску и работаю с ней, да и трасы все показывают что пакети для внутреней сетки идут через тунель. sh cry eng conn act не выдаёт ничего. Криптография должна по пингу подыматса. Конфиг не думаю что он много скажет но вскоре выложу.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Шифровать трафик между двумя 2600 Цысками"
	Сообщение от Corhaid (??) on 14-Окт-04, 01:32  (MSK)
	>>Конфиг в студию плз. И еще, что значит слетает? не работает? Траффик >>по туннелю бегает? Что выдается по команде sh cry eng conn act? >Да трафик в тунеле есть я по телнету захожу на Цыску и >работаю с ней, да и трасы все показывают что пакети для >внутреней сетки идут через тунель. >sh cry eng conn act не выдаёт ничего. Криптография должна по пингу >подыматса. Конфиг не думаю что он много скажет но вскоре выложу. Криптовка вообще-то поднимается по траффику попадающему под аксесс-лист шифрования. Не важно пинг это или че-нить другое. А если по команде sh cry eng conn act ничего не выдается, значит нету у Вас активных крипто-коннектов и трафик не шифруется.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Шифровать трафик между двумя 2600 Цысками"
	Сообщение от deMan (??) on 14-Окт-04, 17:04  (MSK)
	>Криптовка вообще-то поднимается по траффику попадающему под аксесс-лист шифрования. Не важно пинг >это или че-нить другое. А если по команде >sh cry eng conn act ничего не выдается, значит нету у Вас >активных крипто-коннектов и трафик не шифруется. С аксесс-листами всё в порядке. Я спецыально включал пинг и так я постоянно сижу на Ццске по телнету. И падение криптования не как не влияет на это. Такое впечатление что криптовка с трафиком попадающим под аксесс-листы не имеет ничего общего.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Шифровать трафик между двумя 2600 Цысками"
	Сообщение от Corhaid (??) on 15-Окт-04, 05:46  (MSK)
	>>Криптовка вообще-то поднимается по траффику попадающему под аксесс-лист шифрования. Не важно пинг >>это или че-нить другое. А если по команде >>sh cry eng conn act ничего не выдается, значит нету у Вас >>активных крипто-коннектов и трафик не шифруется. > >С аксесс-листами всё в порядке. Я спецыально включал пинг и так я >постоянно сижу на Ццске по телнету. И падение криптования не как >не влияет на это. Такое впечатление что криптовка с трафиком попадающим >под аксесс-листы не имеет ничего общего. Чудес не бывает, или это глюки :) Так что конфиг в студию, если есть желание разобраться что к чему и почему.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Шифровать трафик между двумя 2600 Цысками"
	Сообщение от deMan (??) on 15-Окт-04, 17:26  (MSK)
	>Чудес не бывает, или это глюки :) Так что конфиг в студию, >если есть желание разобраться что к чему и почему. crypto isakmp policy 10 hash md5 authentication pre-share group 2 lifetime 1800 crypto isakmp key KEY address x.x.x.x crypto isakmp keepalive 20 10 ! crypto ipsec security-association lifetime seconds 1800 ! crypto ipsec transform-set CARD_VPN ah-sha-hmac esp-des esp-sha-hmac ! crypto map MAP 10 ipsec-isakmp set peer x.x.x.x set transform-set CARD_VPN match address ACCESS ..... interface Tunnel1 ip address z.z.z.z tunnel source y.y.y.y tunnel destination x.x.x.x tunnel mode ipip tunnel path-mtu-discovery ..... interface FastEthernet0/0.2 encapsulation dot1Q 2 ip address y.y.y.y crypto map MAP ..... Плюс стандартные аксес-листи описывающие сетки трафик которых нужно криптовать и роутинг который говорит что все пакеты кроме сеток в которих находятса реальные адреса(там у них 30 маска) отправлять в тунель. На другом роутере анологично.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Шифровать трафик между двумя 2600 Цысками"
	Сообщение от AlexDv (??) on 16-Окт-04, 22:45  (MSK)
	>>Чудес не бывает, или это глюки :) Так что конфиг в студию, >>если есть желание разобраться что к чему и почему. > >crypto isakmp policy 10 > hash md5 > authentication pre-share > group 2 > lifetime 1800 >crypto isakmp key KEY address x.x.x.x >crypto isakmp keepalive 20 10 >! >crypto ipsec security-association lifetime seconds 1800 >! >crypto ipsec transform-set CARD_VPN ah-sha-hmac esp-des esp-sha-hmac >! >crypto map MAP 10 ipsec-isakmp > set peer x.x.x.x > set transform-set CARD_VPN > match address ACCESS >..... >interface Tunnel1 > ip address z.z.z.z > tunnel source y.y.y.y > tunnel destination x.x.x.x > tunnel mode ipip > tunnel path-mtu-discovery >..... >interface FastEthernet0/0.2 > encapsulation dot1Q 2 > ip address y.y.y.y > crypto map MAP >..... >Плюс стандартные аксес-листи описывающие сетки трафик которых нужно криптовать и роутинг который >говорит что все пакеты кроме сеток в которих находятса реальные адреса(там >у них 30 маска) отправлять в тунель. >На другом роутере анологично. И где акцесс-листы? Через них IPSec может пройти или нет?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Шифровать трафик между двумя 2600 Цысками"
	Сообщение от Corhaid (??) on 18-Окт-04, 02:59  (MSK)
	>>Чудес не бывает, или это глюки :) Так что конфиг в студию, >>если есть желание разобраться что к чему и почему. > >crypto isakmp policy 10 > hash md5 > authentication pre-share > group 2 > lifetime 1800 >crypto isakmp key KEY address x.x.x.x >crypto isakmp keepalive 20 10 >! >crypto ipsec security-association lifetime seconds 1800 >! >crypto ipsec transform-set CARD_VPN ah-sha-hmac esp-des esp-sha-hmac >! >crypto map MAP 10 ipsec-isakmp > set peer x.x.x.x > set transform-set CARD_VPN > match address ACCESS >..... >interface Tunnel1 > ip address z.z.z.z > tunnel source y.y.y.y > tunnel destination x.x.x.x > tunnel mode ipip > tunnel path-mtu-discovery >..... >interface FastEthernet0/0.2 > encapsulation dot1Q 2 > ip address y.y.y.y > crypto map MAP >..... >Плюс стандартные аксес-листи описывающие сетки трафик которых нужно криптовать и роутинг который >говорит что все пакеты кроме сеток в которих находятса реальные адреса(там >у них 30 маска) отправлять в тунель. >На другом роутере анологично. В акссессс-листах все как раз и может быть зарыто, то что выше приведено в принципе верно. Аксесс-лист должен тока правильно описать траффик туннеля. И еще, версия ИОС какая?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Шифровать трафик между двумя 2600 Цысками"
	Сообщение от deMan (??) on 18-Окт-04, 11:03  (MSK)
	>В акссессс-листах все как раз и может быть зарыто, то что выше >приведено в принципе верно. Аксесс-лист должен тока правильно описать траффик туннеля. >И еще, версия ИОС какая? У меня "звезда" Потому аксесс-листы такого формата: permit ip IP(локальной сетки) IP(сетки трафик для которой надо шифровать)+ маски, в центре "звезды" обратные, и всё. Возможно нужно ищё создать какой нибуть лист для тунелля? IPSec через листы ходить может, хотя бы потому что на даном этапе я подключаю новую Цыску, и все остальные роутеры работают нормально. А ходит ли IPSec через тунель, через который у меня подключена новая Цыска, сказать не могу, не знаю как проверить. Да IOS-ы там различаютса: c2600-ik9s-mz.122-13.bin c2600(20-21XM)-ik9s-mz.122-11.T10.bin - сегодня сменю на c2600-ik9s-mz.122-16b.bin.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Шифровать трафик между двумя 2600 Цысками"
	Сообщение от Corhaid (??) on 19-Окт-04, 01:43  (MSK)
	>>В акссессс-листах все как раз и может быть зарыто, то что выше >>приведено в принципе верно. Аксесс-лист должен тока правильно описать траффик туннеля. >>И еще, версия ИОС какая? >У меня "звезда" Потому аксесс-листы такого формата: >permit ip IP(локальной сетки) IP(сетки трафик для которой надо шифровать)+ маски, в >центре "звезды" обратные, и всё Неправильно - чтобы зашифровать туннель нужно траффик туннеля например: permit gre host aa.aa.aa.aa host bb.bb.bb.bb И все будет в туннеле в этом шифроваться.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Шифровать трафик между двумя 2600 Цысками"
	Сообщение от deMan (??) on 19-Окт-04, 10:08  (MSK)
	>Неправильно - чтобы зашифровать туннель нужно траффик туннеля например: >permit gre host aa.aa.aa.aa host bb.bb.bb.bb >И все будет в туннеле в этом шифроваться. У меня тенель: tunnel mode ipip, а не gre/ip Секундочку, мне нужно переписать аксесс-листы что описывают трафик для сеток между которыми проложен тунель, или же создать новый специально для тунеля? Спасибо.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Шифровать трафик между двумя 2600 Цысками"
	Сообщение от Corhaid (??) on 20-Окт-04, 01:31  (MSK)
	>>Неправильно - чтобы зашифровать туннель нужно траффик туннеля например: >>permit gre host aa.aa.aa.aa host bb.bb.bb.bb >>И все будет в туннеле в этом шифроваться. >У меня тенель: tunnel mode ipip, а не gre/ip Это был просто пример, значит в этом конкретном случае надо описать траффик туннеля ipip, а не gre. >Секундочку, мне нужно переписать аксесс-листы что описывают трафик для сеток между которыми >проложен тунель, или же создать новый специально для тунеля? Исправить существующий. Сеток там не будет, будет описание траффика туннеля.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.