return

Ответ к задаче №7.2

7 марта 2013, 16:55

R3 —> R1

crypto isakmp policy:encr desauthentication pre-sharegroup 1hash md5

Генерируем трафик с R3 на R1:

R3#ping 10.0.0.0 source 10.1.1.0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.0, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.0
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 552/589/600 ms

Проверяем какая политика отработала:

R3#sh cry isa sa detail

C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap.
1003 200.0.0.1 100.0.0.1 ACTIVE des md5 psk 1 23:59:18
Engine-id:Conn-id = SW:3

При желании, можно проверить какая политика будет, если туннель будет инициирован со стороны R1.
Прежде чем это делать, необходимо удалить предыдущие туннели IPsec:

clear crypto isakmpclear crypto ipsec sa

R1 —> R3:

crypto isakmp policy:encr aesauthentication pre-sharegroup 5hash sha

Генерируем трафик с R1 на R3:

R1#ping 10.1.1.0 source 10.0.0.0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.0, timeout is 2 seconds:
Packet sent with a source address of 10.0.0.0
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/277/480 ms

R1#sh crypto isakmp sa detail

C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap.
1003 100.0.0.1 200.0.0.1 ACTIVE aes sha psk 5 23:59:11
Engine-id:Conn-id = SW:3

Комментарии к задаче:
При создании isakmp sa, та сторона, которая инициирует соединение, отправляет все локально настроенные политики isakmp.
Принимающая сторона просматривает по очереди, в порядке приоритетности свои локально настроенные политики. Первая же политика, для которой найдено совпадение, будет использоваться.
Для того чтобы не было ситуаций, аналогичной смоделированной в задаче, лучше использовать такое правило локальной нумерации политик: более безопасные политики должны быть более приоритетными. Тогда участники выберут самую безопасную из общих политик.

like 0 views 8171 message 1

1 коментарий

  • Здравствуйте, Евгений.
    Вы очень вовремя. Уже через примерно 2 недели я как раз планирую начать распределять темы по авторам.
    Спасибо, что откликнулись. Это большое дело, с которым мне не справиться одному.

    Если несложно, напишите на info@linkmeup.ru. По e-mail’у мне будет удобнее общаться.

    13 марта 2014, 09:03

Ещё статьи

linkmeetup
Теперь официально, аж пенсне поправить хочется: 1 июля состоится грандиозный linkmeetup, который организуем мы. Проекту в этом году исполнится 10 лет. В июне выйдет 100-й выпуск классического подкаста для связистов ...
like 1 6612 0
13 мая 2021
Задача №6.5
Маршрутизатор в Москве анонсирует всем остальным маршрутизаторам в сети маршрут по умолчанию. Но на все остальные маршрутизаторы он приходит с одинаковой метрикой равной 1 и метрика не увеличивается по пути ...
like 0 13866 14
29 октября 2012
Сети для самых маленьких. Микровыпуск №6. MPLS L3VPN и доступ в Интернет
Статья про L3VPN получилась большой — ни много ни мало 130 000 символов. Учитывая, что и её ещё не все дочитали, эту часть про доступ в Интернет мы вынесли в ...
like 248 58853 9
1 августа 2016