return

Ответ к задаче №7.2

7 марта 2013, 16:55

R3 —> R1

crypto isakmp policy:encr desauthentication pre-sharegroup 1hash md5

Генерируем трафик с R3 на R1:

R3#ping 10.0.0.0 source 10.1.1.0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.0, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.0
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 552/589/600 ms

Проверяем какая политика отработала:

R3#sh cry isa sa detail

C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap.
1003 200.0.0.1 100.0.0.1 ACTIVE des md5 psk 1 23:59:18
Engine-id:Conn-id = SW:3

При желании, можно проверить какая политика будет, если туннель будет инициирован со стороны R1.
Прежде чем это делать, необходимо удалить предыдущие туннели IPsec:

clear crypto isakmpclear crypto ipsec sa

R1 —> R3:

crypto isakmp policy:encr aesauthentication pre-sharegroup 5hash sha

Генерируем трафик с R1 на R3:

R1#ping 10.1.1.0 source 10.0.0.0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.0, timeout is 2 seconds:
Packet sent with a source address of 10.0.0.0
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/277/480 ms

R1#sh crypto isakmp sa detail

C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap.
1003 100.0.0.1 200.0.0.1 ACTIVE aes sha psk 5 23:59:11
Engine-id:Conn-id = SW:3

Комментарии к задаче:
При создании isakmp sa, та сторона, которая инициирует соединение, отправляет все локально настроенные политики isakmp.
Принимающая сторона просматривает по очереди, в порядке приоритетности свои локально настроенные политики. Первая же политика, для которой найдено совпадение, будет использоваться.
Для того чтобы не было ситуаций, аналогичной смоделированной в задаче, лучше использовать такое правило локальной нумерации политик: более безопасные политики должны быть более приоритетными. Тогда участники выберут самую безопасную из общих политик.

like 0 views 8636 message 1

1 коментарий

  • Здравствуйте, Евгений.
    Вы очень вовремя. Уже через примерно 2 недели я как раз планирую начать распределять темы по авторам.
    Спасибо, что откликнулись. Это большое дело, с которым мне не справиться одному.

    Если несложно, напишите на info@linkmeup.ru. По e-mail’у мне будет удобнее общаться.

    13 марта 2014, 09:03

Ещё статьи

LINKMEETUP nsk /24
СДСМ начал писаться в Новосибирске. Первые подкасты увидели свет в Новосибирске. Даже первый линкмитап мы затеяли, когда я — Марат — уже вернулся в Новосибирск из Москвы. Поэтому сомнения, что ...
like 0 1319 0
14 июня 2024
LinkMeUp. Выпуск № 49. GNS3 Русские субтитры
Ну вот и подоспели, горячие, свежие, разбирайте. Спасибо Дмитрию Фиголю, Наташе Пуртовой, Марату Сибгатулину и Максу Глюку. Иногда приходилось переводить с французского, поэтому трудности имели место — будьте снисходительны — ...
like 0 4869 0
5 апреля 2017
Анонс подкаста. Выпуск 23
17-го января в 15:00 по Мск первый выпуск в 2015-м году здесь будет 23-й выпуск подкаста linkmeup. В гостях инженер израильской компании Compass-EOS — Александр Клиппер. Компания производит один единственный ...
like 0 6238 2
11 января 2015