Crypto-map on Tunnel

Модераторы: Trinity admin`s, Free-lance moderator`s

Аватара пользователя
SashaXa
Advanced member
Сообщения: 71
Зарегистрирован: 14 апр 2004, 19:44

Crypto-map on Tunnel

Сообщение SashaXa » 02 мар 2007, 15:33

Добрый день!

Как можно навесить карту криптования на тунель, чтобы трафик криптовался  :?
Не буду приводить пример конфигурации, так как он увенчался неудачей, причем не в первый раз. Исход один:
sh cry ses
Crypto session current status

Interface: Tunnel520
Session status: DOWN
Peer: ***.***.***.*** port 500
 IPSEC FLOW: permit 47 host ###.###.###.### host ***.***.***.***
       Active SAs: 0, origin: crypto map

Важно: нужен листинг команд с обеих сторон

Спасибо

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 02 мар 2007, 15:56

Командой crypto map ******
и будет у вас
Session status: UP-ACTIVE  
А если серьёзно то для ответа не хватает информации и тех же самых конфигов

Аватара пользователя
SashaXa
Advanced member
Сообщения: 71
Зарегистрирован: 14 апр 2004, 19:44

Сообщение SashaXa » 02 мар 2007, 17:17

krasnov писал(а):А если серьёзно то для ответа не хватает информации и тех же самых конфигов
ну вот конфиг  :shock:
-----------------------------------------------------------------------
!
(config)#crypto isakmp policy 10
(config-isakmp)#hash md5
(config-isakmp)#authentication pre-share
(config-isakmp)#lifetime 4000
!
(config)#crypto isakmp key 0 abc address 111.111.111.111
(config)#crypto ipsec transform-set TR-IPSec esp-des esp-md5-hmac
(cfg-crypto-trans)#mode transport
!
(config)#crypto map Branch 10 ipsec-isakmp
(config-crypto-map)#set peer 222.222.222.222
(config-crypto-map)#set transform-set TR-IPSec
(config-crypto-map)#set pfs group1
(config-crypto-map)#match address 111
!
(config)#access-list 111 permit ip host 222.222.222.222 host 111.111.111.111
!
(config)#interface tunnel 111
(config-if)#crypto map Branch
!
---------------------------------------
с другой стороны тоже самое, только:
!
(config-crypto-map)#set peer 111.111.111.111
!
(config)#access-list 111 permit ip host 111.111.111.111 host 222.222.222.222
!

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 02 мар 2007, 17:58

Ну што люди такие скромные, если конфиг, то не полный (наверное)
1. Сам GRE сконфигурён, а то
(config)#interface tunnel 111
(config-if)#crypto map Branch
- слишком мало
2. (config)#access-list 111 permit gre host 222.222.222.222 host 111.111.111.111 (2-е буквы меняем на 3)
3. crypto map Branch - убираем с туннеля, ставим на физ. интерфейс (в зависимости от sh ver)

А также смотрим примеры конфигов на http://www.cisco.com/en/US/partner/tech ... _list.html[/b]

Аватара пользователя
a_shats
Advanced member
Сообщения: 5010
Зарегистрирован: 27 авг 2002, 10:55
Откуда: Москва
Контактная информация:

Сообщение a_shats » 02 мар 2007, 18:00

krasnov
Злой ты :) Это ж партнерский сайт киски, без логина/пароля туды никак :)

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 02 мар 2007, 18:32

to a_shats
Я не злой, я залогинившийся ;)
А на cisco даже без CCO это информаци ну очень много
http://www.cisco.com/en/US/tech/tk583/t ... _list.html

Аватара пользователя
SashaXa
Advanced member
Сообщения: 71
Зарегистрирован: 14 апр 2004, 19:44

Сообщение SashaXa » 02 мар 2007, 18:34

krasnov писал(а): 1. Сам GRE сконфигурён, а то  
(config)#interface tunnel 111
(config-if)#crypto map Branch
- слишком мало
ну если бы знал как это проверить наверное не спрашивал бы  :roll:
krasnov писал(а): 2. (config)#access-list 111 permit gre host 222.222.222.222 host 111.111.111.111 (2-е буквы меняем на 3)
эт как понимать-то,  :?:
krasnov писал(а): А также смотрим примеры конфигов на http://www.cisco.com/en/US/partner/tech ... _list.html[/b]
если есть возможность выкинуть пример конфига, было бы замечательно :wink:

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Сообщение and3008 » 02 мар 2007, 19:36

http://www.cisco.com/en/US/tech/tk583/t ... _list.html

Там почти 160 примеров готовых конфигов для IPSec на все случаи жизни. Все популярно разжевано c описанием и картинками.

Аватара пользователя
SashaXa
Advanced member
Сообщения: 71
Зарегистрирован: 14 апр 2004, 19:44

Сообщение SashaXa » 07 мар 2007, 16:18

and3008 писал(а):http://www.cisco.com/en/US/tech/tk583/t ... _list.html

Там почти 160 примеров готовых конфигов для IPSec на все случаи жизни. Все популярно разжевано c описанием и картинками.
да уж, спасибо, помогли  :? ,  форумы вродь для того, чтобы из множества выбрать правильное решение, а линкоФФ я тоже могу много накидать ...  :roll: только проблему эт не решит

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 07 мар 2007, 17:34

И зачем обижаться
Ну не понимаем мы в чём у вас проблема
Теория дана в мануалах
Примеры конфигов там же
Примеры со своих девайсов - их нет у нас ( поверьте GRE over IPSec не всегда нужно ;))
Решить конкретный траблшутинг - всегда пожалуйста

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Сообщение and3008 » 07 мар 2007, 20:17

форумы вродь для того, чтобы из множества выбрать правильное решение
Я вам дал линк на 160 вариантов различных решений.

Что я сделал не так?

Аватара пользователя
SashaXa
Advanced member
Сообщения: 71
Зарегистрирован: 14 апр 2004, 19:44

Сообщение SashaXa » 22 мар 2007, 11:56

krasnov писал(а):И зачем обижаться
Ну не понимаем мы в чём у вас проблема
нет обид  8) ,  вернусь к началу темы, и попытаюсь задать вопрос по-другому:

Как правильно криптовать трафик внутри туннеля, или реальную конфигурацию Crypto-map с обеих сторон.
На все вопросы отвечу,

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 22 мар 2007, 12:20

С обоих девайсов
sh ver
sh run ( с поднятым тунелем)
тогда напишится конкретно, иначе и дальше будет биллетристика

Аватара пользователя
SashaXa
Advanced member
Сообщения: 71
Зарегистрирован: 14 апр 2004, 19:44

Сообщение SashaXa » 22 мар 2007, 18:10

krasnov писал(а):С обоих девайсов
sh ver
Cisco IOS Software, 2801 Software (C2801-ADVENTERPRISEK9-M), Version 12.4(12), RELEASE SOFTWARE (fc1)
ROM: System Bootstrap, Version 12.3(8r)T9, RELEASE SOFTWARE (fc1)
System image file is "flash:c2801-adventerprisek9-mz.124-12.bin"

Cisco 2801 (revision 6.0) with 116736K/14336K bytes of memory.
Processor board ID FHK1038F2VN
2 FastEthernet interfaces
3 Serial(sync/async) interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
62720K bytes of ATA CompactFlash (Read/Write)


Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(5), RELEASE SOFTWARE (fc3)
ROM: System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)
System image file is "flash:c1841-advipservicesk9-mz.124-5.bin"

Cisco 1841 (revision 5.0) with 116736K/14336K bytes of memory.
Processor board ID FCZ093420TD
6 FastEthernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
31360K bytes of ATA CompactFlash (Read/Write)
krasnov писал(а):С обоих девайсов
sh run
уж больно много получится, конкретнее что вырезать, от кеда и до кеда ...

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 22 мар 2007, 18:18

кидайте полностью, места не жалко;)
будет меньше вопросов и непоняток

Ответить

Вернуться в «Сети - Вопросы конфигурирования сети»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 17 гостей