Ответ к задаче №7.1

Конфигурация R4:
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisconew address 100.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
!
crypto map MAP1 10 ipsec-isakmp
set peer 100.0.0.1
set transform-set AES128-SHA
match address 101
!
interface FastEthernet0/1
crypto map MAP1
!
access-list 101 permit ip host 10.2.2.0 host 10.0.0.0
access-list 101 permit ip host 10.2.2.0 host 10.1.1.0

Конфигурация R3:
(необходимо только добавить строку в ACL)
access-list 101 permit ip host 10.1.1.0 host 10.0.0.0
access-list 101 permit ip host 10.1.1.0 host 10.2.2.0

Конфигурация R1:

crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 200.0.0.1
crypto isakmp key cisconew address 202.0.0.1
!
crypto map MAP1 10 ipsec-isakmp
set peer 200.0.0.1
set transform-set AES128-SHA
match address 101
crypto map MAP1 20 ipsec-isakmp
set peer 202.0.0.1
set transform-set AES128-SHA
match address 102
!
!
interface FastEthernet0/0
crypto map MAP1
!
access-list 101 permit ip host 10.0.0.0 host 10.1.1.0
access-list 101 permit ip host 10.2.2.0 host 10.1.1.0
!
access-list 102 permit ip host 10.0.0.0 host 10.2.2.0
access-list 102 permit ip host 10.1.1.0 host 10.2.2.0

Комментарии к конфигурации R1:
К интерфейсу может быть применена только одна crypto-map.
Поэтому настройки для туннеля к R4 должны быть добавлены в существующую crypto-map MAP1.
Crypto-map состоит из наборов правил, которые отсортированы по порядку.
Когда трафик проходит через интерфейс, на котором применена crypto-map, он проверяется на совпадение с acl, по порядку, по всем наборам правил crypto-map.

7 комментариев

avatar
Спасибо за лабораторную. Но нет схемы включения и трудно понять какой интерфейс куда идет.
avatar
В условии задачи сказано, что «Начальная конфигурация: «IPsec»» со ссылкой на эту конфигурацию.
Вы правы, там не подписаны интерфейсы, но они понятны из конфигурации. К сожалению, инженерам техподдержки постоянно приходится извлекать крупицы ценной информации из того, что присылает заказчик. Представьте, что это одна из таких задач.
avatar
я строил тонель R1-R4 и у меня не проходили пинги, в дебаге было это:
*Mar 1 01:32:49.147: IPSEC(validate_transform_proposal): peer address 202.0.0.1 not found
*Mar 1 01:32:49.151: ISAKMP:(0:3:SW:1): IPSec policy invalidated proposal
*Mar 1 01:32:49.155: ISAKMP:(0:3:SW:1): phase 2 SA policy not acceptable! (local 100.0.0.1 remote 202.0.0.1)
мой конфиг был такой
crypto isakmp policy 1
encr aes
authentication pre-share
crypto isakmp key cisco address 200.0.0.1
crypto isakmp key cisco address 202.0.0.1
!
!
crypto ipsec transform-set ESP128 esp-aes esp-sha-hmac
!
crypto map MAP1 10 ipsec-isakmp
set peer 200.0.0.1
set transform-set ESP128
match address 101
crypto map MAP1 20 ipsec-isakmp
set peer 202.0.0.1
set transform-set ESP128
match address 101
!
!
!
!
interface Loopback0
ip address 10.0.0.0 255.255.255.255
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 100.0.0.1 255.255.255.252
duplex auto
speed auto
crypto map MAP1
!
!
ip route 0.0.0.0 0.0.0.0 100.0.0.2
!
!
no ip http server
no ip http secure-server
!
access-list 101 permit ip host 10.0.0.0 host 10.1.1.1
access-list 101 permit ip host 10.0.0.0 host 10.2.2.0
после того как создал лист 102 и переместил в него 2-ю строчку. все заработало причем где-то на 11 эхо-запросе в GNS3
Не подскажите, почему в одном листе не срабатывало?
avatar
Плюсую, та же проблема
avatar
насколько я понимаю, если вы применяете один и тот же access-list, то получается вот-что:
роутер смотрит MAP1, видит что есть часть 10 и 20, и он естественно смотрит сначала 10(10<20), видит что host 10.2.2.0 подходит под указаный здесь access-list, и шлёт пинг на peer 200.0.0.1. а не на peer 202.0.0.1, как нужно было.
avatar
Спасибо, за ваши труды.
У меня заработало немного по другому:

crypto map MAP1 10 ipsec-isakmp 
set peer 200.0.0.1
set peer 202.0.0.1
set transform-set AES128-SHA
match address 101


На будущее конечно не масштабируемое, но вариант рабочий.
avatar
В конфигах маршрутизаторов не указано «encruption aes». Случайно?..
Пришлось почесать репу, чтоб заработало все ))

Огромное спасибо за Ваш труд!
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.