return

Ответ к задаче №7.1

7 марта 2013, 16:55

Конфигурация R4:

crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisconew address 100.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
!
crypto map MAP1 10 ipsec-isakmp
set peer 100.0.0.1
set transform-set AES128-SHA
match address 101
!
interface FastEthernet0/1
crypto map MAP1
!
access-list 101 permit ip host 10.2.2.0 host 10.0.0.0
access-list 101 permit ip host 10.2.2.0 host 10.1.1.0

Конфигурация R3:
(необходимо только добавить строку в ACL)

access-list 101 permit ip host 10.1.1.0 host 10.0.0.0
access-list 101 permit ip host 10.1.1.0 host 10.2.2.0

Конфигурация R1:

crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 200.0.0.1
crypto isakmp key cisconew address 202.0.0.1
!
crypto map MAP1 10 ipsec-isakmp
set peer 200.0.0.1
set transform-set AES128-SHA
match address 101
crypto map MAP1 20 ipsec-isakmp
set peer 202.0.0.1
set transform-set AES128-SHA
match address 102
!
!
interface FastEthernet0/0
crypto map MAP1
!
access-list 101 permit ip host 10.0.0.0 host 10.1.1.0
access-list 101 permit ip host 10.2.2.0 host 10.1.1.0
!
access-list 102 permit ip host 10.0.0.0 host 10.2.2.0
access-list 102 permit ip host 10.1.1.0 host 10.2.2.0

Комментарии к конфигурации R1:
К интерфейсу может быть применена только одна crypto-map.
Поэтому настройки для туннеля к R4 должны быть добавлены в существующую crypto-map MAP1.
Crypto-map состоит из наборов правил, которые отсортированы по порядку.
Когда трафик проходит через интерфейс, на котором применена crypto-map, он проверяется на совпадение с acl, по порядку, по всем наборам правил crypto-map.

like 0 views 10372 message 8

8 коментариев

  • Здравствуйте!
    С чем может быть связана ситуация, когда один и тот же проект CPT (полностью соответствующий данной задаче) при каждом открытии дает построить тоннель только к одному из двух филиалов. А именно — к тому, откуда/куда идет запрос.
    При попытке связаться со вторым филиалом в симуляции выходит уведомление «The interesting traffic can not be encrypted, IKE (ISAKMP) needs to negotatiate IPSec SAs».
    Конфигурации филиалов идентичны за разницей IP-адресов.

    5 апреля 2020, 12:21
  • В конфигах маршрутизаторов не указано «encruption aes». Случайно?..
    Пришлось почесать репу, чтоб заработало все ))

    Огромное спасибо за Ваш труд!

    17 сентября 2015, 16:13
  • Спасибо, за ваши труды.
    У меня заработало немного по другому:

    crypto map MAP1 10 ipsec-isakmp 
    set peer 200.0.0.1
    set peer 202.0.0.1
    set transform-set AES128-SHA
    match address 101

    На будущее конечно не масштабируемое, но вариант рабочий.

    16 июня 2014, 11:38
  • я строил тонель R1-R4 и у меня не проходили пинги, в дебаге было это:
    *Mar 1 01:32:49.147: IPSEC(validate_transform_proposal): peer address 202.0.0.1 not found
    *Mar 1 01:32:49.151: ISAKMP:(0:3:SW:1): IPSec policy invalidated proposal
    *Mar 1 01:32:49.155: ISAKMP:(0:3:SW:1): phase 2 SA policy not acceptable! (local 100.0.0.1 remote 202.0.0.1)
    мой конфиг был такой
    crypto isakmp policy 1
    encr aes
    authentication pre-share
    crypto isakmp key cisco address 200.0.0.1
    crypto isakmp key cisco address 202.0.0.1
    !
    !
    crypto ipsec transform-set ESP128 esp-aes esp-sha-hmac
    !
    crypto map MAP1 10 ipsec-isakmp
    set peer 200.0.0.1
    set transform-set ESP128
    match address 101
    crypto map MAP1 20 ipsec-isakmp
    set peer 202.0.0.1
    set transform-set ESP128
    match address 101
    !
    !
    !
    !
    interface Loopback0
    ip address 10.0.0.0 255.255.255.255
    !
    interface FastEthernet0/0
    no ip address
    shutdown
    duplex auto
    speed auto
    !
    interface FastEthernet0/1
    ip address 100.0.0.1 255.255.255.252
    duplex auto
    speed auto
    crypto map MAP1
    !
    !
    ip route 0.0.0.0 0.0.0.0 100.0.0.2
    !
    !
    no ip http server
    no ip http secure-server
    !
    access-list 101 permit ip host 10.0.0.0 host 10.1.1.1
    access-list 101 permit ip host 10.0.0.0 host 10.2.2.0
    после того как создал лист 102 и переместил в него 2-ю строчку. все заработало причем где-то на 11 эхо-запросе в GNS3
    Не подскажите, почему в одном листе не срабатывало?

    24 ноября 2013, 14:31
  • Спасибо за лабораторную. Но нет схемы включения и трудно понять какой интерфейс куда идет.

    25 июля 2013, 12:41
  • насколько я понимаю, если вы применяете один и тот же access-list, то получается вот-что:
    роутер смотрит MAP1, видит что есть часть 10 и 20, и он естественно смотрит сначала 10(10<20), видит что host 10.2.2.0 подходит под указаный здесь access-list, и шлёт пинг на peer 200.0.0.1. а не на peer 202.0.0.1, как нужно было.

    2 июля 2015, 14:10
  • Плюсую, та же проблема

    14 февраля 2014, 19:07
  • В условии задачи сказано, что «Начальная конфигурация: «IPsec»» со ссылкой на эту конфигурацию.
    Вы правы, там не подписаны интерфейсы, но они понятны из конфигурации. К сожалению, инженерам техподдержки постоянно приходится извлекать крупицы ценной информации из того, что присылает заказчик. Представьте, что это одна из таких задач.

    25 июля 2013, 12:46

Ещё статьи

Инструкция по применению CCIE за год
Как и любому органу организма для достижения результатов, мозгу требуется нагрузка. Ближайшие 64 недели она у вас будет. Остался позади подготовительный этап длиной в два с половиной месяца. Мы уже ...
like 0 6973 0
2 апреля 2016
Ответ к задаче №9.1
R1# ip forward-protocol udp 10999 ip access-list extended BR-to-MULT permit udp any any eq 10999 interface Ethernet0/0 description to SERVER ip multicast helper-map broadcast 239.9.9.9 BR-to-MULT R5# ip access-list extended ...
like 0 6373 4
18 мая 2016
Задача №9.2
Схема и начальная конфигурация. Замечание к топологии: в этой задаче только маршрутизаторы R1, R2, R3 находятся под управлением администраторов нашей сети. То есть, конфигурацию изменять можно только на них. Сервер ...
like 0 6255 0
31 марта 2014