Ответ к задаче №7.4
0
8554
24
Всё просто:
R1
hostname R1
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 200.0.0.1
!
!
crypto ipsec transform-set T1 esp-aes esp-sha-hmac
mode transport
!
crypto ipsec profile P1
set transform-set T1
!
!
interface Loopback0
ip address 10.0.0.0 255.255.255.255
!
interface Tunnel0
ip address 10.2.2.1 255.255.255.252
tunnel source 100.0.0.1
tunnel destination 200.0.0.1
tunnel protection ipsec profile P1
!
interface FastEthernet0/0
ip address 100.0.0.1 255.255.255.252
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 100.0.0.2
ip route 10.1.1.0 255.255.255.255 10.2.2.2
R2
hostname R2
!
interface FastEthernet0/0
ip address 100.0.0.2 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 200.0.0.2 255.255.255.252
duplex auto
speed auto
R3
hostname R3
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 100.0.0.1
!
!
crypto ipsec transform-set T1 esp-aes esp-sha-hmac
mode transport
!
crypto ipsec profile P1
set transform-set T1
!
!
interface Loopback0
ip address 10.1.1.0 255.255.255.255
!
interface Tunnel0
ip address 10.2.2.2 255.255.255.252
tunnel source 200.0.0.1
tunnel destination 100.0.0.1
tunnel protection ipsec profile P1
!
interface FastEthernet0/1
ip address 200.0.0.1 255.255.255.0
duplex auto
speed auto
!
!
ip route 0.0.0.0 0.0.0.0 200.0.0.2
ip route 10.0.0.0 255.255.255.255 10.2.2.1
0
8554
24
Ещё статьи
24 коментария
Может будет кому полезно.
crypto ipsec profile и gre keepalive
Кратко: GRE keepalives are not supported together with IPsec tunnel protection under any circumstances.
В CPT нет возможности задать профиль:
R1(config)#crypto ipsec?
security-association Security association parameters
transform-set Define transform and settings
Если это — ограничение CPT, то подскажите пожалуйста, на каком уроке необходимо было перейти с CPT на GNS3 и пр.?
В уроках открытым текстом об этом не говорилось, а в видео-роликах лабы выполнялись именно на этой среде.
Здравствуйте!
Подскажите пожалуйста по задаче 7,1. В чем тогда отличии использования crypto-map и профиля ipsec.
Здравствуйте.
Настраивать маршрутизацию для группы не нужно — вам нужно только настроить PIM и IGMP.
Чтобы трафик полился важны 3 пункта:
1) Есть источник
2) Есть клиент
3) Настроен PIM+IGMP.
Чтобы разобраться в вашей проблеме нужно больше деталей. Но главный вопрос — есть ли клиенты и обмениваются ли они с маршрутизатором IGMP-сообщениями.
Судя по задачам, и конфигам в них, особой разницы нет, кроме той, что мапа вешается на физический интерфейс, и несёт функции:
— выбора пира, с которым шифруется трафик;
— выбора трафика, который будет шифроваться.
В туннеле те же задачи решаются средствами самого туннеля, т.е. командой tunnel destination 200.0.0.1 вместо set peer 200.0.0.1, и ip route 10.0.0.0 255.255.255.255 10.2.2.1 вместо access-list 101 permit gre host 100.0.0.1 host 200.0.0.1. Польза состоит в том, что протоколы динамической маршрутизации при этом могут сами набивать маршрутизацию, которая для примера, вырождена в статику. А вот списки доступа набивать непонятно каким образом, кроме как вручную.
Ошибся, к задаче 7,4
Все равно спасибо, жаль конечно, но спасибо =)
Я если честно, окончательно запутался в вашей истории. Но разбираться сейчас нет времени — очень много основной работы привалило, да и в командировку улетаю. Извините.
Забыл добавить, igmp snooping на самой циске включен в глобальном режиме, но отключен на вланах, если это поможет понять как это все работает…
Более того еще и потери в TSReader пропали… Но я не могу пустить в сеть такой поток, так как не знаю как он работает и боюсь что он снова может привести к падению сети
Замечательно, отключил igmp snooping и на длинке тоже и картинка ожила и до сих пор не падает… Я принципиально не понимаю как это работает, везде пишут нужно включать, а у меня работает ТОЛЬКО если отключить =)))
Обманул и вас и себя, при таком раскладе рабоает не стабильно, первые 5 минут про работало нормально, потом пропало совсем, потом снова появилось и снова пропало…
Вынес порт в отдельный влан, на первом же длинке в цепочке создал такой же влан, подключился тестовой машинкой, работает, единственное что пришлось отключить igmp snooping вообще, так как при попытке включения его на влане сети приводит к загрузке цпу до 90% (имеется ввиду на циске)… Теперь проблема в том что я вообще не знаю как идет поток, всем или не всем, потому что по всем командам показывает пусто (sh ip mroute, sh ip igmp snooping mroute/int/que/gr/mem, sh ip pim) кстати ip pim passive тоже отключил… Теперь мне нужно разобраться в диагностике того как идет поток, и начать им хоть как то управлять, что можете посоветовать?
Как считаете лучше будет если порт источник мультикаст вещания вынести в отдельный от сети влан?
Совсем чертовщина какая то началась, начал потихоньку разбираться, включил igmp snooping на влане с сетью, сразу подскачила загрузка цпу, и продолжила скакать, то упадет, то снова взлетит, в igmp snooping groups появились каике то группы, в igmp snooping querier появился адрес из сети, адрес принадлежит одному из управляемых свичей, собственно querier на нем отключено вообще, в сети вообще ничего не включено кроме igmp snooping на всех свичах (DLink — разных моделей), отключаю igmp snooping загрузка спадает и все нормализуется, только мультикаст никуда не идет… Из-за чего так происходит? Я для теста всего один тв канал гоняю, присвоил на сумматоре ему группу 226.100.10.2, кстати после того как включал igmp snooping я смотрел через vlc этот канал, НО на коммутаторе в группах и membership в качестве репортера указывался адрес кого то из сети, а не адрес моей машинки… как такое может быть? Может вам конфиг показать, может вы что нибудь увидите, потому что я уже окончательно запутался…
Сейчас обнаружил что из сети с различных абонентов идут запросы на несуществующие мультикаст группы, пока что отключил полнотью igmp и pim, сейчас все итаблицы пустые, откуда вообще берутся эти запросы? И как с этим бороться?
Да убедился в том что TTL кроме как на дальность прохождения пакетов не влияет на сеть. Таким образом получается что коммутатор сейчас вещает у меня всем и вся, то есть даже тем кто этого и не просил, таким образом происходит забивание каналов, сегодня в пока тестил снова начал пропадать интернет у тех кто сидит на вай фай узлах… Как мне сделать чтобы мультикаст трафик вещался по запросу клиентов, а не всем и сразу?
IGMP snooping был изначально включен. Про TTL мне тут наговорили что это ой как критично, что при вещании с TTL 255 происходит лавинообразное забивание интерфейсов… по другому я просто тогда не знаю даже как объяснить падение сети через некоторое время после включения порта с линией мультикаста.
Отвечу на всё разом.
1) Если есть возможностью обойтись без маршрутизатора — обходитесь без маршрутизатора.
2) «прав недостаточно su с пассом root не подошел…»
IP-адрес настраивается в графической утилитке. Нет необходимости делать это в консоли и, насколько, я помню, ОС и не даст.
3)«он вещает по умолчанию с TTL 255»
Это нормально. Неслужебные мультикастовые пакеты вполне могут и более того, обычно так и вещаются.
4) «вещает iptv по всему влану сети даже если на нем отключить ip multicast-routing и ip pim passive»
По умолчанию любой коммутатор широковещает весь мультикастовый трафик. Для того, чтобы он начал отправлять избирательно, нужно включить IGMP-Snooping.
5) «счетчик continuity errors не спеша, но растет»
Проверяйте потери, QoS, CPU, утилизацию портов.
6) «я не нашел идентичного оборудования»
Вообще говоря непринципиально. Но на каких-то образах может подглючивать — несколько раз ловил гнс за тем, что трафик перестаёт ходить до клиентов. Но это легко отловить.
Вообще не понимаю как работает коммутатор 3750, просто чудеса творит, вещает iptv по всему влану сети даже если на нем отключить ip multicast-routing и ip pim passive, в общем не знаю как но работает, одна только не большая проблема, визуально сидеть и смотреть на экран весь день с целью установления целостности картинки нет возможности, поэтому запустил один канал в TSReader и через час проверил, счетчик continuity errors не спеша, но растет, в час примерно на 200 вырос. Начал читать, и многие пишут что это возможно из-за нарушения очередности пакетов, мол неправильно настроен QoS, в моем случаи он вообще не включен, ни на циске ни на следующем в цепочке D-Linke 1210-28, вы с таким не сталкивались?
Пардон, похоже понял в чем была причина завала сети если на коммутаторе аводить мультикаст, просто у нас в качестве сервера вещания используется сумматор Sumavision EMR 3.0, а там оказалось что он вещает по умолчанию с TTL 255 видимо это послужило причиной забивания сети…
Кстати брал из вашей статьи образ для qemu multicast server не смог в уже запущенной машине установить адрес интерфейса и запустить его, пишет прав недостаточно su с пассом root не подошел…
Добрый день!
Да я видел и более того пробовал, но проблема в том что в базе GNS3 я не нашел идентичного оборудования, если это конечно принципиально важно… По pim и igmp я так понимаю что igmp включается автоматически на циске, тут еще проблема такая что сеть построена давно и как мне кажется весьма нерационально, тут еще стоит коммутатора Catalyst 3750x на котором коммутируется вся сеть, в одном влане и в отдельном влане маршрутиризатор С7301 к котрому собственно подключен сервер (интернет шлюз). Изначально я думал пусть мультикас поток через коммутатор, так мне казалось будет проще и собственно по самой задумке нам не обязательно чтобы мультикаст ходил через интернет шлюз, в общем к моему удивлению коммтутатор началп ропускать мультикаст в сеть вообще без настроек, даже pim не включал, но через некоторое время началось забивание сети и некоторые узлы сети нечали падать, особенно что касается людей подключенных к сети по wi-fi… Пытался настроить pim на коммутаторе для решения проблемы, но там из всех доступных спсобов работы pim доступен только лишь passive, как он работает я так и не понял. Скажите, по вашему мнению на чем лучше запускать мультикаст на маршрутиризаторе или коммутаторе? Интуитивно я понимаю что лучше на коммутаторе, так как его производительность значительно выше =) но как на нем организовать без проблемное вещание пока не понимаю, имеется ввиду вещание при котром сеть падать не будет, я так понял что сеть падала из-за того что вещание происходило не по принципу запроса — ответа, а постоянно и всем, видимо за режима passive. Может быть стоит перепрошить коммутатор на более новую версию ios?
Ещё, конечно, мой главный совет — выделите 1-2 вечера и соберите лабу из статьи, посмотрите дампы, сверьтесь с текстом и вы поймёте, как работает мультикаст.
Всё-таки в GNS это сподручнее. Кроме того, я отдельно делал видео о том, как собрать лабу, чтобы были и источник и получатели мультикастового трафика.