Задача №7.5
0
12394
5
Схема: «GRE_over_IPSec»
Конфигурация: прилагается
Описание проблемы:
После настройки GRE over IPSec между R1 и R3, всё прекрасно работает, трафик между R1 и R3 (c 10.0.0.0 на 10.1.1.0) передается.
Однако, через несколько дней, когда администратор хотел посмотреть состояние VPN, обнаружилось, что на маршрутизаторах вообще нет установленных SA.
Соответственно, трафик между R1 и R3 не шифруется.
Задание:
Необходимо проверить настройки, исправить конфигурацию и сделать так, чтобы трафик шифровался (трафик между loopback-интерфейсами 10.0.0.0 и 10.1.1.0).
Конфигурация R1:
hostname R1
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 200.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
mode transport
!
crypto map CRMAP1 10 ipsec-isakmp
set peer 200.0.0.1
set transform-set AES128-SHA
match address 120
!
interface Loopback0
ip address 10.0.0.0 255.255.255.255
!
interface Tunnel0
ip address 10.20.2.1 255.255.255.252
tunnel source 100.0.0.1
tunnel destination 200.0.0.1
!
interface FastEthernet0/0
ip address 100.0.0.1 255.255.255.252
duplex auto
speed auto
crypto map CRMAP1
!
ip route 0.0.0.0 0.0.0.0 100.0.0.2
ip route 10.1.1.0 255.255.255.255 10.20.2.2
!
access-list 120 permit gre host 10.0.0.0 host 10.1.1.0
Конфигурация R2:
hostname R2
!
interface FastEthernet0/0
ip address 100.0.0.2 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 200.0.0.2 255.255.255.252
duplex auto
speed auto
Конфигурация R3:
hostname R3
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 100.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
mode transport
!
crypto map CRMAP1 10 ipsec-isakmp
set peer 100.0.0.1
set transform-set AES128-SHA
match address 120
!
!
interface Loopback0
ip address 10.1.1.0 255.255.255.255
!
interface Tunnel0
ip address 10.20.2.2 255.255.255.252
tunnel source 200.0.0.1
tunnel destination 100.0.0.1
!
interface FastEthernet0/1
ip address 200.0.0.1 255.255.255.0
duplex auto
speed auto
crypto map CRMAP1
!
!
ip route 0.0.0.0 0.0.0.0 200.0.0.2
ip route 10.0.0.0 255.255.255.255 10.20.2.1
!
access-list 120 permit gre host 10.1.1.0 host 10.0.0.0
0
12394
5
Ещё статьи
5 коментариев
Как быть, если добавляется еще один филиал? Неясно, как настраиваются в этом случае access-list для мапы на центральном узле.
Также в CPT к сабинтерфейсу не привязывается мапа, но что делать, если за fa0/0 находится не один провайдер, а несколько?
Добрый вечер!
Видимо, нужно использовать маску /30 а не /24 в данном случае
видимо литетурой будет 1 и 2 части соответствующих книг?
Приветствую.
Ну по фряхе и дебиану я точно ничего не посоветую, а вот касательно сетей, то всё просто — поставьте себе задачу сдать CCNA к июлю.
Да.
Для общего развития я рекомендую Таненбаума. Очень хорошая книга по основам сетей.