форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"просьба помочь разобраться с туннелем..."
Сообщение от chart (??) on 10-Дек-04, 18:56  (MSK)
есть два оффиса, оба выходят в инет через свои прокси...задача, построить между оффисами туннель для связи серверов и сохранить выход в инет.. вариант 1 crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key cisco123 address 95.95.95.2 ! crypto ipsec transform-set rtpset esp-des esp-md5-hmac ! crypto map rtp 1 ipsec-isakmp set peer 95.95.95.2 set transform-set rtpset match address 115 ! interface Ethernet0/0 ip address 98.98.98.1 255.255.255.0 no ip directed-broadcast ! interface Ethernet0/1 ip address 99.99.99.2 255.255.255.0 no ip directed-broadcast no ip route-cache no ip mroute-cache crypto map rtp ------------------------------------- вариант 2 crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key cisco123 address 95.95.95.2 ! crypto ipsec transform-set rtpset esp-des esp-md5-hmac ! crypto map rtp 1 ipsec-isakmp set peer 95.95.95.2 set transform-set rtpset match address 115 ! interface Tunnel0 ip address 192.168.1.2 255.255.255.252 ip broadcast-address 192.168.1.3 ip route-cache same-interface tunnel source Serial0 tunnel destination S0 -другого рутера tunnel mode ipip crypto map rtp interface Ethernet0/0 ip address 98.98.98.1 255.255.255.0 no ip directed-broadcast ! interface Ethernet0/1 ip address 99.99.99.2 255.255.255.0 no ip directed-broadcast no ip route-cache no ip mroute-cache crypto map rtp ------------------------------- если честно я не очень понимаю значение Tunnel0, в варианте 1 уст.шифров канал на весь трафик? а во втором образуется шифров.канал (tunnel0)тоесть как бы отдельно от всего тафика?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "просьба помочь разобраться с туннелем..."
Сообщение от ВОЛКА on 10-Дек-04, 21:36  (MSK)
2 вариант, простота конфигураци + можно поднять динамическую маршрутизацию между офисами. минус только в том, что увеличиться на 24 байта оверхед
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "просьба помочь разобраться с туннелем..."
	Сообщение от AlexDv (??) on 11-Дек-04, 01:30  (MSK)
	Лишний интерфейс (туннель) - проще? Маршрутизация - BGP через IPSEC (с приватной AS)?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "просьба помочь разобраться с туннелем..."
	Сообщение от chart (??) on 14-Дек-04, 12:24  (MSK)
	построил канал (Tunnel1)смаршрутизил сети обоих оффисов друг на друга,  сделал чтоб коннекторы Exchange работали по каналу... и все вроде работает... НО!!! когда из одного оффиса в другой по каналу идет письмо размером 1 мег. то время пинга time=3500-4500 или timeout , потом связ восстанавливается... С этим сто то можно сделать, потому что если допустим почты будет много то канал вообще ляжет и сообветствено exchange будет считать что канал лежит....... В одном оффисе подано 128к в другом 64к, этого достаточно? Спасибо
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "просьба помочь разобраться с туннелем..."
	Сообщение от ВОЛКА on 14-Дек-04, 12:35  (MSK)
	полностью настройки покажите...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "просьба помочь разобраться с туннелем..."
	Сообщение от chart (??) on 14-Дек-04, 13:01  (MSK)
	первый маршрутизатор..    (я рассматривал int Tunnel1 но и с Tunnel0 такая же проблема....помогите пожалуйста разобраться.... центр.офис 2610 филиалы 805 --------------------------------------------------- центр оффис ip cef ip name-server 217.69.192.135 ip name-server 217.69.192.133 ip audit notify log ip audit po max-events 100 ip ssh break-string no ftp-server write-enable ! ! crypto isakmp policy 10 authentication pre-share ! crypto isakmp policy 100 hash md5 authentication pre-share crypto isakmp key RAUDTEE address 194.85.147.54 crypto isakmp key ciscokey1 address 82.148.136.210 ! ! crypto ipsec transform-set rootcisco esp-3des esp-md5-hmac crypto ipsec transform-set MSK1 esp-des esp-md5-hmac ! crypto map rootcisco 101 ipsec-isakmp set peer 194.85.147.54 set transform-set rootcisco match address 102 ! ! crypto map MSK1 10 ipsec-isakmp set peer 82.148.136.210 set transform-set MSK1 match address 101 ! ! interface Tunnel0 ip address 192.168.1.1 255.255.255.252 ip broadcast-address 192.168.1.3 ip mtu 1420 ip route-cache same-interface ip route-cache flow logging event subif-link-status keepalive 5 4 tunnel source 217.69.223.6 tunnel destination 194.85.147.54 tunnel mode ipip crypto map rootcisco ! interface Tunnel1 ip address 192.168.2.1 255.255.255.252 tunnel source 217.69.223.6 tunnel destination 82.142.136.210 crypto map MSK1 ! interface FastEthernet0/0 ip address 10.10.221.251 255.255.255.0 secondary ip address 217.69.213.213 255.255.255.252 secondary ip address 10.1.1.1 255.255.255.0 secondary ip address 217.69.220.222 255.255.255.252 ip nat inside logging event subif-link-status speed auto full-duplex no mop enabled ! interface Serial0/0 ip address 217.69.223.6 255.255.255.252   ip nat outside no fair-queue crypto map MSK1 ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/1 no ip address shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 217.69.223.5 ip route 10.10.223.0 255.255.255.0 Tunnel1 ip route 10.10.224.0 255.255.255.192 Tunnel0 ip route 217.69.213.212 255.255.255.252 Serial0/0 ! no ip http server no ip http secure-server ! ! logging history debugging logging facility local6 logging source-interface Serial0/0 logging 10.10.221.250 access-list 101 permit gre 10.10.221.0 0.0.0.255 10.10.223.0 0.0.0.255 access-list 102 permit ip 10.10.221.0 0.0.0.255 10.10.224.0 0.0.0.255 access-list 103 permit ip any any -------------------------------------------------------------------- второй маршрутизатор ! clock timezone Msk 3 ip subnet-zero ! ip name-server 194.85.129.80 ip name-server 194.85.128.10 ip ssh time-out 120 ip ssh authentication-retries 3 ! crypto isakmp policy 10 authentication pre-share crypto isakmp key ciscokey address 217.69.223.6 ! ! crypto ipsec transform-set MSK1 esp-des esp-md5-hmac ! crypto map vpn1 10 ipsec-isakmp set peer 217.69.223.6 set transform-set MSK1 match address 101 ! ! ! ! interface Tunnel1 ip address 192.168.2.2 255.255.255.252 no keepalive tunnel source 82.142.136.210 tunnel destination 217.69.223.6 crypto map vpn1 ! interface Ethernet0 ip address 10.10.223.3 255.255.255.0 secondary ip address 62.105.133.113 255.255.255.252 ip nat inside no keepalive ! interface Serial0 ip address 82.142.136.210 255.255.255.252 ip nat outside crypto map vpn1 ! ip nat inside source static tcp 10.10.223.5 30020 82.142.136.210 30020 extendable ip nat inside source static tcp 10.10.223.5 30021 82.142.136.210 30021 extendable ip nat inside source static tcp 10.10.223.5 31000 82.142.136.210 31000 extendable ip classless ip route 0.0.0.0 0.0.0.0 82.142.136.209 ip route 10.10.221.0 255.255.255.0 Tunnel1 no ip http server ip pim bidir-enable ! ! access-list 101 permit gre 10.10.223.0 0.0.0.255 10.10.221.0 0.0.0.255 !
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "просьба помочь разобраться с туннелем..."
	Сообщение от chart (??) on 14-Дек-04, 16:51  (MSK)
	идут постоянные потери...что сделать? подскажите..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "просьба помочь разобраться с туннелем..."
	Сообщение от Сайко on 14-Дек-04, 17:01  (MSK)
	Потери чего?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "просьба помочь разобраться с туннелем..."
	Сообщение от chart (??) on 14-Дек-04, 17:06  (MSK)
	когда по каналу передается скажем почта или просто переписывается файл размер 1-1.5 мега задержки 3500ms или timeout , потом все оживает...из за чего это происходит немогу понять.. Тоесть если стоит в почтовой очереди 4-5 мегов то канал практически не работает......и как следствие начинает съезжать exchange
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "просьба помочь разобраться с туннелем..."
	Сообщение от Сайко on 14-Дек-04, 17:13  (MSK)
	Я как раз считал что почта это не приоритетный трафик. Все это происходит от безобразия TCP. Вам нужно организовать policy, например CBWFQ.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "просьба помочь разобраться с туннелем..."
	Сообщение от chart (??) on 14-Дек-04, 17:29  (MSK)
	конечно я сейчас посмотрю на ciscocom , ....но немогли бы вы хотябы в двух словах теорию...... тоесть с помощью организации policy задаются приоритеты по трафику??
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "просьба помочь разобраться с туннелем..."
	Сообщение от Сайко on 14-Дек-04, 17:34  (MSK)
	В двух словах не получится, вот ссылка: Configuring CBWFQ for IPSec VPN http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns109/networking_solutions_white_paper09186a0080189080.shtml Надеюсь поможет...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "просьба помочь разобраться с туннелем..."
	Сообщение от chart (??) on 14-Дек-04, 17:41  (MSK)
	>В двух словах не получится, вот ссылка: >Configuring CBWFQ for IPSec VPN >http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns109/networking_solutions_white_paper09186a0080189080.shtml > >Надеюсь поможет... спасибо сейчас начну изучение....     p.s. спасибо за помощь...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "просьба помочь разобраться с туннелем..."
	Сообщение от ВОЛКА on 14-Дек-04, 17:30  (MSK)
	канал маленький, поэтому никакой QoS вам особо не поможет... http://www.cisco.com/en/US/tech/tk652/tk701/technologies_configuration_example09186a0080094196.shtml можете попробовать настроить LLQ or CBWFQ
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "просьба помочь разобраться с туннелем..."
	Сообщение от chart (??) on 14-Дек-04, 17:40  (MSK)
	>канал маленький, поэтому никакой QoS вам особо не поможет... >http://www.cisco.com/en/US/tech/tk652/tk701/technologies_configuration_example09186a0080094196.shtml >можете попробовать настроить LLQ or CBWFQ   да, уже читаю доку...огромное вам спасибо..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "просьба помочь разобраться с туннелем..."
	Сообщение от Сайко on 14-Дек-04, 18:11  (MSK)
	А если не секрет - то начиная с каких бэндвисей можно пользоваться QoS? ;)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.