Ответ к задаче №7.5

Пример процесса поиска неисправностей:

Проверяем доступность loopback'а R3 с R1:

R1#ping 10.1.1.0 source 10.0.0.0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.0, timeout is 2 seconds:
Packet sent with a source address of 10.0.0.0
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 200/215/220 ms

Проверяем isakmp sa (их нет):

R1#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status

Самые простые причины могут быть такими:
— не применена cryto-map
— не правильно настроена crypto-map
— трафик не попадает под описание того трафика, который надо шифровать

Проверяем настройки crypto-map:

R1#sh crypto map
Crypto Map «CRMAP1» 10 ipsec-isakmp
Peer = 200.0.0.1
Extended IP access list 120
access-list 120 permit gre host 10.0.0.0 host 10.1.1.0
Current peer: 200.0.0.1
Security association lifetime: 4608000 kilobytes/3600 seconds
Responder-Only (Y/N): N
PFS (Y/N): N
Transform sets={
AES128-SHA: { esp-aes esp-sha-hmac },
}
Interfaces using crypto map CRMAP1:
FastEthernet0/0

В конце видим, что crypto-map применена на правильный интерфейс, peer указан правильно.
Но если внимательно присмотреться к ACL, то видно, что он неправильно настроен.
Хотя, первичный трафик идет с 10.0.0.0 на 10.1.1.0, затем он инкапсулируется в GRE, и до физического интерфейса уже доходит с адресами в заголовках, не 10.0.0.0 и 10.1.1.0, а 100.0.0.1 и 200.0.0.1.

Надо исправить ACL на R1:

R1#sh run | s accessaccess-list 120 permit gre host 10.0.0.0 host 10.1.1.0R1(config)# no access-list 120 permit gre host 10.0.0.0 host 10.1.1.0R1(config)# access-list 120 permit gre host 100.0.0.1 host 200.0.0.1


Аналогично проверяем на R3:

R3#sh crypto map
Crypto Map «CRMAP1» 10 ipsec-isakmp
Peer = 100.0.0.1
Extended IP access list 120
access-list 120 permit gre host 10.1.1.0 host 10.0.0.0
Current peer: 100.0.0.1
Security association lifetime: 4608000 kilobytes/3600 seconds
Responder-Only (Y/N): N
PFS (Y/N): N
Transform sets={
AES128-SHA: { esp-aes esp-sha-hmac },
}
Interfaces using crypto map CRMAP1:
FastEthernet0/1

Исправляем ACL и на R3:

R3#sh run | s accessaccess-list 120 permit gre host 10.1.1.0 host 10.0.0.0R3(config)#no access-list 120 permit gre host 10.1.1.0 host 10.0.0.0R3(config)#access-list 120 permit gre host 200.0.0.1 host 100.0.0.1


Проверяем:

R1#ping 10.1.1.0 source 10.0.0.0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.0, timeout is 2 seconds:
Packet sent with a source address of 10.0.0.0
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 548/588/600 ms

R1#sh crypto isa sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
200.0.0.1 100.0.0.1 QM_IDLE 1011 ACTIVE

R1#sh crypto session detail
Crypto session current status

Code: C — IKE Configuration mode, D — Dead Peer Detection
K — Keepalives, N — NAT-traversal, T — cTCP encapsulation
X — IKE Extended Authentication, F — IKE Fragmentation

Interface: FastEthernet0/0
Uptime: 00:01:46
Session status: UP-ACTIVE
Peer: 200.0.0.1 port 500 fvrf: (none) ivrf: (none)
Phase1_id: 200.0.0.1
Desc: (none)
IKE SA: local 100.0.0.1/500 remote 200.0.0.1/500 Active
Capabilities:(none) connid:1011 lifetime:23:58:03
IPSEC FLOW: permit 47 host 100.0.0.1 host 200.0.0.1
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 8 drop 0 life (KB/Sec) 4467199/3493
Outbound: #pkts enc'ed 8 drop 2 life (KB/Sec) 4467199/3493


— Решение:
Надо исправить ACL на R1 и R3:

R1#sh run | s accessaccess-list 120 permit gre host 10.0.0.0 host 10.1.1.0R1(config)# no access-list 120 permit gre host 10.0.0.0 host 10.1.1.0R1(config)# access-list 120 permit gre host 100.0.0.1 host 200.0.0.1R3#sh run | s accessaccess-list 120 permit gre host 10.1.1.0 host 10.0.0.0R3(config)#no access-list 120 permit gre host 10.1.1.0 host 10.0.0.0R3(config)#access-list 120 permit gre host 200.0.0.1 host 100.0.0.1

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.