return

Ответ к задаче №7.2

7 марта 2013, 16:55

R3 —> R1

crypto isakmp policy:encr desauthentication pre-sharegroup 1hash md5

Генерируем трафик с R3 на R1:

R3#ping 10.0.0.0 source 10.1.1.0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.0, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.0
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 552/589/600 ms

Проверяем какая политика отработала:

R3#sh cry isa sa detail

C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap.
1003 200.0.0.1 100.0.0.1 ACTIVE des md5 psk 1 23:59:18
Engine-id:Conn-id = SW:3

При желании, можно проверить какая политика будет, если туннель будет инициирован со стороны R1.
Прежде чем это делать, необходимо удалить предыдущие туннели IPsec:

clear crypto isakmpclear crypto ipsec sa

R1 —> R3:

crypto isakmp policy:encr aesauthentication pre-sharegroup 5hash sha

Генерируем трафик с R1 на R3:

R1#ping 10.1.1.0 source 10.0.0.0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.0, timeout is 2 seconds:
Packet sent with a source address of 10.0.0.0
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/277/480 ms

R1#sh crypto isakmp sa detail

C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap.
1003 100.0.0.1 200.0.0.1 ACTIVE aes sha psk 5 23:59:11
Engine-id:Conn-id = SW:3

Комментарии к задаче:
При создании isakmp sa, та сторона, которая инициирует соединение, отправляет все локально настроенные политики isakmp.
Принимающая сторона просматривает по очереди, в порядке приоритетности свои локально настроенные политики. Первая же политика, для которой найдено совпадение, будет использоваться.
Для того чтобы не было ситуаций, аналогичной смоделированной в задаче, лучше использовать такое правило локальной нумерации политик: более безопасные политики должны быть более приоритетными. Тогда участники выберут самую безопасную из общих политик.

like 0 views 6085 message 1

1 коментарий

  • Здравствуйте, Евгений.
    Вы очень вовремя. Уже через примерно 2 недели я как раз планирую начать распределять темы по авторам.
    Спасибо, что откликнулись. Это большое дело, с которым мне не справиться одному.

    Если несложно, напишите на info@linkmeup.ru. По e-mail’у мне будет удобнее общаться.

    13 марта 2014, 09:03

Ещё статьи

Задача №МВ3.7
Наш новый клиент AS 64504 подключен к нашей сети. И пока что не планирует подключение к другому провайдеру. На данном этапе клиент может использовать номер автономной системы из приватного диапазона. ...
like 0 5313 1
15 октября 2013
Анонс подкаста. Выпуск 60 \\\\\17.02 14:00 Мск.
Вы когда-нибудь мечтали работать в офисе рядом со Средиземным морем? Да ещё и на блидинг-эдж, так сказать: облака, L3-фабрики без переподписки, SDN на основе оверлейных сетей. И вишенка на торте: ...
like 0 3126 4
13 февраля 2018
Задача №9.3
Схема и начальная конфигурация. Сервер 172.16.0.5 передает мультикаст трафик на группы 239.1.1.1, 239.2.2.2 и 239.0.0.x. Настроить сеть таким образом, чтобы: — клиент 1 не мог присоединиться к группе 239.2.2.2. Но ...
like 0 7336 0
31 марта 2014