return

Ответ к задаче №7.2

7 марта 2013, 16:55

R3 —> R1

crypto isakmp policy:encr desauthentication pre-sharegroup 1hash md5

Генерируем трафик с R3 на R1:

R3#ping 10.0.0.0 source 10.1.1.0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.0, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.0
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 552/589/600 ms

Проверяем какая политика отработала:

R3#sh cry isa sa detail

C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap.
1003 200.0.0.1 100.0.0.1 ACTIVE des md5 psk 1 23:59:18
Engine-id:Conn-id = SW:3

При желании, можно проверить какая политика будет, если туннель будет инициирован со стороны R1.
Прежде чем это делать, необходимо удалить предыдущие туннели IPsec:

clear crypto isakmpclear crypto ipsec sa

R1 —> R3:

crypto isakmp policy:encr aesauthentication pre-sharegroup 5hash sha

Генерируем трафик с R1 на R3:

R1#ping 10.1.1.0 source 10.0.0.0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.0, timeout is 2 seconds:
Packet sent with a source address of 10.0.0.0
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/277/480 ms

R1#sh crypto isakmp sa detail

C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap.
1003 100.0.0.1 200.0.0.1 ACTIVE aes sha psk 5 23:59:11
Engine-id:Conn-id = SW:3

Комментарии к задаче:
При создании isakmp sa, та сторона, которая инициирует соединение, отправляет все локально настроенные политики isakmp.
Принимающая сторона просматривает по очереди, в порядке приоритетности свои локально настроенные политики. Первая же политика, для которой найдено совпадение, будет использоваться.
Для того чтобы не было ситуаций, аналогичной смоделированной в задаче, лучше использовать такое правило локальной нумерации политик: более безопасные политики должны быть более приоритетными. Тогда участники выберут самую безопасную из общих политик.

like 0 views 7806 message 1

1 коментарий

  • Здравствуйте, Евгений.
    Вы очень вовремя. Уже через примерно 2 недели я как раз планирую начать распределять темы по авторам.
    Спасибо, что откликнулись. Это большое дело, с которым мне не справиться одному.

    Если несложно, напишите на info@linkmeup.ru. По e-mail’у мне будет удобнее общаться.

    13 марта 2014, 09:03

Ещё статьи

Ответ к задаче №6.1
Задача 6.1На spb-vsl-gw1:spb-vsl-gw1(config)# int f1/1spb-vsl-gw1(config-if)# ip ospf hello-interval 3spb-vsl-gw1(config-if)# ip ospf dead-interval 12На spb-ozerki-gw1:spb-ozerki-gw1(config)# int f0/24spb-ozerki-gw1(config-if)# ip ospf hello-interval 3spb-ozerki-gw1(config-if)# ip ospf dead-interval 12
like 0 19681 61
29 октября 2012
Анонс подкаста. Выпуск 71 \\\\\19.01 10:00 Мск.
Слушатель, готовься рано встать ради подкаста про Mellanox Tecnologies. Когда: 19.01 10:00 Мск. Кто: Александр Петровский. Системный инженер МелланоксПавел Антонов. Представитель Мелланокс в РоссииРоман Горшунов — IT архитектор и инженер ...
like 0 2343 0
17 января 2019
Анонс подкаста. Выпуск 21
Продолжим хорошее начинание — 16-го ноября слушайте онлайн 21-й выпуск подкаста linkmeup. Тема выпуска очень долгожданная — поговорим о системах мониторинга, управления, инвентаризации итд. От самых маленьких домовых сетей до ...
like 0 7269 13
10 ноября 2014