return

Ответ к задаче №7.2

7 марта 2013, 16:55

R3 —> R1

crypto isakmp policy:encr desauthentication pre-sharegroup 1hash md5

Генерируем трафик с R3 на R1:

R3#ping 10.0.0.0 source 10.1.1.0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.0, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.0
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 552/589/600 ms

Проверяем какая политика отработала:

R3#sh cry isa sa detail

C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap.
1003 200.0.0.1 100.0.0.1 ACTIVE des md5 psk 1 23:59:18
Engine-id:Conn-id = SW:3

При желании, можно проверить какая политика будет, если туннель будет инициирован со стороны R1.
Прежде чем это делать, необходимо удалить предыдущие туннели IPsec:

clear crypto isakmpclear crypto ipsec sa

R1 —> R3:

crypto isakmp policy:encr aesauthentication pre-sharegroup 5hash sha

Генерируем трафик с R1 на R3:

R1#ping 10.1.1.0 source 10.0.0.0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.0, timeout is 2 seconds:
Packet sent with a source address of 10.0.0.0
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/277/480 ms

R1#sh crypto isakmp sa detail

C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap.
1003 100.0.0.1 200.0.0.1 ACTIVE aes sha psk 5 23:59:11
Engine-id:Conn-id = SW:3

Комментарии к задаче:
При создании isakmp sa, та сторона, которая инициирует соединение, отправляет все локально настроенные политики isakmp.
Принимающая сторона просматривает по очереди, в порядке приоритетности свои локально настроенные политики. Первая же политика, для которой найдено совпадение, будет использоваться.
Для того чтобы не было ситуаций, аналогичной смоделированной в задаче, лучше использовать такое правило локальной нумерации политик: более безопасные политики должны быть более приоритетными. Тогда участники выберут самую безопасную из общих политик.

like 0 views 6166 message 1

1 коментарий

  • Здравствуйте, Евгений.
    Вы очень вовремя. Уже через примерно 2 недели я как раз планирую начать распределять темы по авторам.
    Спасибо, что откликнулись. Это большое дело, с которым мне не справиться одному.

    Если несложно, напишите на info@linkmeup.ru. По e-mail’у мне будет удобнее общаться.

    13 марта 2014, 09:03

Ещё статьи

Ответ к задаче №8.5
interface FastEthernet0/0description Balagan_Telecom_Internetip address 101.0.0.2 255.255.255.252bandwidth 9000!interface FastEthernet0/1description Philkin_Certificate_Internetip address 102.0.0.2 255.255.255.252bandwidth 3000!!router bgp 64500no synchronizationbgp log-neighbor-changesbgp bestpath as-path multipath-relaxmaximum-paths 2bgp dmzlink-bwnetwork 100.0.0.0 mask 255.255.254.0neighbor 101.0.0.1 remote-as 64501neighbor 101.0.0.1 prefix-list ...
like 0 7712 4
19 июля 2013
Анонс подкаста linkmeup_sysadmins. Выпуск 14. Докер, Кубер два апдейта\\\ 23.07 20:00 Мск
Docker и Kubernetes, ну куда же без них. Не прошло и десятилетки, мы добрались до выпуска о Docker и Kubernetes. Хотите послушать, о чём нам расскажут гости Андрей и Михаил? ...
like 459 4168 0
18 июля 2019
Отчёт о Quantum Technology Conference 2018
Мероприятие Quantum Technology Conference 2018, инфопартнёром которой стал неожиданно для себя linkmeup, закончилось и вот короткие выводы. -=Текст предоставлен организаторами=- От однофотонных детекторов к национальным квантовым сетям: как развиваются квантовые ...
like 0 2180 0
29 марта 2018