Crypto-map on Tunnel

Модераторы: Trinity admin`s, Free-lance moderator`s

Аватара пользователя
SashaXa
Advanced member
Сообщения: 71
Зарегистрирован: 14 апр 2004, 19:44

Сообщение SashaXa » 23 мар 2007, 09:59

krasnov писал(а):места не жалко;)
version 12.4
service timestamps debug datetime msec
service timestamps log datetime
service password-encryption
!
hostname 111
!
boot-start-marker
boot-end-marker
!
ip cef
!
ip flow-cache timeout active 5
vpdn enable
!
interface Loopback1
ip address 192.168.33.33 255.255.255.255
!
interface Tunnel10
ip address 10.10.111.111 255.255.255.252
no ip proxy-arp
ip mtu 1440
ip nbar protocol-discovery
ip route-cache flow
ip ospf cost 120
tunnel source Serial0/1/0
tunnel destination 444.444.444.444
tunnel checksum
!
interface FastEthernet0/0
ip address 10.10.10.50 255.255.255.0
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
full-duplex
speed 100
!
interface FastEthernet0/1
no ip address
shutdown
speed 100
full-duplex
!
interface Serial0/1/0
ip address 333.333.333.333 255.255.255.252
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly
ip route-cache flow
traffic-shape group 3 256000 64000 64000 1000
!
interface Serial0/3/0
bandwidth 1024000
no ip address
ip broadcast-address 0.0.0.0
ip nbar protocol-discovery
encapsulation frame-relay
no ip route-cache cef
ip route-cache flow
no ip mroute-cache
no fair-queue
frame-relay traffic-shaping
frame-relay lmi-type ansi
!
interface Serial0/3/0.10 point-to-point
bandwidth 256000
ip address 10.10.11.11 255.255.255.252
ip nbar protocol-discovery
ip ospf cost 100
frame-relay class FR-QoS
frame-relay interface-dlci 110  
!
interface Serial0/3/1
no ip address
encapsulation frame-relay IETF
ip route-cache flow
frame-relay lmi-type ansi
!
router ospf 1
router-id 192.168.33.33
log-adjacency-changes
area 10 stub
area 10 range 10.10.0.0 255.255.0.0
network 10.10.0.0 0.0.255.255 area 10
!
router bgp 12345
no synchronization
bgp log-neighbor-changes
network 10.10.0.0 mask 255.255.0.0
neighbor 192.10.10.10  remote-as 1234
neighbor 192.10.10.10 ebgp-multihop 5
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 Serial0/1/0
!
ip nat translation timeout 1800
ip nat translation tcp-timeout 150
ip nat translation udp-timeout 150
ip nat inside source static 10.10.11.111 333.333.333.33 extendable
ip nat inside source static 10.10.11.1 333.333.333.3 extendable
!
access-list 3 permit aaa.aaa.aaa.aaa
access-list 4 permit bbb.bbb.bbb.bbb
access-list 121 permit ip host ddd.ddd.ddd.ddd any log
access-list 140 permit tcp host ccc.ccc.ccc.ccc any eq smtp
access-list 150 permit tcp any any eq ftp
access-list 150 permit tcp any any eq ftp-data
!
end
---------------------------------------------------------------------------------
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname 222
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
logging console informational
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no ip source-route
ip cef
!
interface Tunnel10
ip address 111.111.111.110 255.255.255.252
no ip proxy-arp
ip mtu 1440
ip route-cache flow
ip ospf cost 120
tunnel source FastEthernet0/1
tunnel destination 333.333.333.333
tunnel checksum
!
interface Loopback0
ip address 192.168.3.3 255.255.255.255
!
interface FastEthernet0/0
ip address 10.10.11.50 255.255.255.0
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
speed 100
full-duplex
!
interface FastEthernet0/1
ip address 444.444.444.444 255.255.255.252
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
speed auto
full-duplex
!
interface Serial1/0
no ip address
no ip proxy-arp
encapsulation frame-relay
ip route-cache flow
no fair-queue
frame-relay traffic-shaping
!
interface Serial1/0.10 point-to-point
ip address 11.11.11.10 255.255.255.252
ip ospf cost 100
frame-relay class FR-QoS
frame-relay interface-dlci 111
!
router ospf 1
log-adjacency-changes
area 10 stub
network 10.10.0.0 0.0.255.255 area 10
!
ip route 0.0.0.0 0.0.0.0 444.444.444.44
!
ip flow-export source Tunnel10
ip flow-export version 5
!
access-list 10 permit 10.11.0.0 0.0.255.255
access-list 20 permit 10.10.0.0 0.0.255.255
!
end

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 23 мар 2007, 11:04

Можно прокомментировать ;)
1.hostname 111
interface Tunnel10
ip address 10.10.111.111 255.255.255.252 - вроде броадкаст

hostname 222
interface Tunnel10
ip address 111.111.111.110 255.255.255.252 - вроде в другой сети

В результате туннель то поднят?;)
И что через него пойдёт - в маршрутах записей нет?

И дальше (к делу не относящееся) по адресации
hostname 111
interface Serial0/3/0.10 point-to-point
ip address 10.10.11.11 255.255.255.252

hostname 222
interface FastEthernet0/0
ip address 10.10.11.50 255.255.255.0

Аватара пользователя
SashaXa
Advanced member
Сообщения: 71
Зарегистрирован: 14 апр 2004, 19:44

Сообщение SashaXa » 23 мар 2007, 12:38

krasnov писал(а):Можно прокомментировать ;)
1.hostname 111
interface Tunnel10
ip address 10.10.111.111 255.255.255.252 - вроде броадкаст
так и есть, это для примера, не стоит привязыватся к цыфрам,
krasnov писал(а): hostname 222
interface Tunnel10
ip address 111.111.111.110 255.255.255.252 - вроде в другой сети
Нумерация приведена не логическая, а наглядная
krasnov писал(а): В результате туннель то поднят?;)
И что через него пойдёт - в маршрутах записей нет?


Да все работатет :)
krasnov писал(а): И дальше (к делу не относящееся) по адресации
hostname 111
interface Serial0/3/0.10 point-to-point
ip address 10.10.11.11 255.255.255.252

hostname 222
interface FastEthernet0/0
ip address 10.10.11.50 255.255.255.0


ну тут мой бок, hostname 222
interface FastEthernet0/0 - типа локалка

interface Serial0/3/0.10 point-to-point
ip address 10.10.11.11 255.255.255.252 - point-to-point конекшн FR
-----
тема такая: Serial(111)-Serial(222) primary channel
Tunnel10(111)-Tunnel10(222) backup channel

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 23 мар 2007, 12:49

[нет слов]
Дубль два:
На какой фазе останавливаемся, дайте дебаг

Аватара пользователя
SashaXa
Advanced member
Сообщения: 71
Зарегистрирован: 14 апр 2004, 19:44

Сообщение SashaXa » 23 мар 2007, 13:49

krasnov писал(а):[нет слов]  :roll:
Дубль два:
На какой фазе останавливаемся, дайте дебаг
давайте все с нуля настроим, так будет проще

может руки кривые, чето пропустил, бывает такое,
потом соответственно и дебаг могу нормальный выкинуть

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 23 мар 2007, 15:58

Под "фазами" имелось в виду фазы ipsec
А с нуля - это откуда - с erase flash
У вас может не работать не только из-за отсутствия SA
Дайте рабочие конфиги - это и будет null
Или если это стенд - настройте на желаемую топологию

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Сообщение and3008 » 23 мар 2007, 19:25

Это что ли?
http://www.cisco.com/en/US/tech/tk827/t ... 46b8.shtml

Ну все же написано. На картинке нарисовано желаемое. Жирным выделено обязательное.
Из моей же ссылки пример-то. Просто все как 2+2.

Хотите научиться - так и говорите. Я ничего не знаю, ничего не понимаю, расскажите как сделать такую-то и такую-то штуку на такой-то железке. И после этого не играть в кошки-мышки, а отвечать на то, о чем просят.
Убирая адреса вы сами на грабли наступаете и других в заблуждение вводите. Хотите скрыть реальную сеть? Сотрите первые один-два октета. Вместо 192.168.1.1 напишите Х.168.1.1, вместо 210.200.60.1 напишите Х.Х.60.1 Но только не стирайте маски!!! Оставьте их как есть!
Это будет проще отвечающим.

Бездумная замена адресов без учета масок сразу говорит о ошибке. А реакция на такие ошибки у сетевых админов уже на уровне условных рефлексов. Они не разбирают проблему дальше, пока это не будет исправлено.

Аватара пользователя
SashaXa
Advanced member
Сообщения: 71
Зарегистрирован: 14 апр 2004, 19:44

Сообщение SashaXa » 27 мар 2007, 21:40

and3008 писал(а):Это что ли?
http://www.cisco.com/en/US/tech/tk827/t ... 46b8.shtml
Все дело в том, что какие бы я не пробовал варианты, не подымается криптование, я конечно же попробую еще и этот, результат опубликую обязательно.,
а по поводу конфига, особо нет времени править, а то что конфигурация довольно большая с 8 физическими интерфейсов, и еще с 100-ню туннелей, не хотелось бы ее публиковать ...
 
Но все равно спасибо 8)

Ответить

Вернуться в «Сети - Вопросы конфигурирования сети»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 5 гостей