return

Ответ к задаче №7.5

7 марта 2013, 16:51

Пример процесса поиска неисправностей:
Проверяем доступность loopback’а R3 с R1:

R1#ping 10.1.1.0 source 10.0.0.0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.0, timeout is 2 seconds:
Packet sent with a source address of 10.0.0.0
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 200/215/220 ms

Проверяем isakmp sa (их нет):

R1#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status

Самые простые причины могут быть такими:
— не применена cryto-map
— не правильно настроена crypto-map
— трафик не попадает под описание того трафика, который надо шифровать
Проверяем настройки crypto-map:

R1#sh crypto map
Crypto Map «CRMAP1» 10 ipsec-isakmp
Peer = 200.0.0.1
Extended IP access list 120
access-list 120 permit gre host 10.0.0.0 host 10.1.1.0
Current peer: 200.0.0.1
Security association lifetime: 4608000 kilobytes/3600 seconds
Responder-Only (Y/N): N
PFS (Y/N): N
Transform sets={
AES128-SHA: { esp-aes esp-sha-hmac },
}
Interfaces using crypto map CRMAP1:
FastEthernet0/0

В конце видим, что crypto-map применена на правильный интерфейс, peer указан правильно.
Но если внимательно присмотреться к ACL, то видно, что он неправильно настроен.
Хотя, первичный трафик идет с 10.0.0.0 на 10.1.1.0, затем он инкапсулируется в GRE, и до физического интерфейса уже доходит с адресами в заголовках, не 10.0.0.0 и 10.1.1.0, а 100.0.0.1 и 200.0.0.1.
Надо исправить ACL на R1:

R1#sh run | s accessaccess-list 120 permit gre host 10.0.0.0 host 10.1.1.0R1(config)# no access-list 120 permit gre host 10.0.0.0 host 10.1.1.0R1(config)# access-list 120 permit gre host 100.0.0.1 host 200.0.0.1

Аналогично проверяем на R3:

R3#sh crypto map
Crypto Map «CRMAP1» 10 ipsec-isakmp
Peer = 100.0.0.1
Extended IP access list 120
access-list 120 permit gre host 10.1.1.0 host 10.0.0.0
Current peer: 100.0.0.1
Security association lifetime: 4608000 kilobytes/3600 seconds
Responder-Only (Y/N): N
PFS (Y/N): N
Transform sets={
AES128-SHA: { esp-aes esp-sha-hmac },
}
Interfaces using crypto map CRMAP1:
FastEthernet0/1

Исправляем ACL и на R3:

R3#sh run | s accessaccess-list 120 permit gre host 10.1.1.0 host 10.0.0.0R3(config)#no access-list 120 permit gre host 10.1.1.0 host 10.0.0.0R3(config)#access-list 120 permit gre host 200.0.0.1 host 100.0.0.1

Проверяем:

R1#ping 10.1.1.0 source 10.0.0.0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.0, timeout is 2 seconds:
Packet sent with a source address of 10.0.0.0
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 548/588/600 ms

R1#sh crypto isa sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
200.0.0.1 100.0.0.1 QM_IDLE 1011 ACTIVE

R1#sh crypto session detail
Crypto session current status

Code: C — IKE Configuration mode, D — Dead Peer Detection
K — Keepalives, N — NAT-traversal, T — cTCP encapsulation
X — IKE Extended Authentication, F — IKE Fragmentation

Interface: FastEthernet0/0
Uptime: 00:01:46
Session status: UP-ACTIVE
Peer: 200.0.0.1 port 500 fvrf: (none) ivrf: (none)
Phase1_id: 200.0.0.1
Desc: (none)
IKE SA: local 100.0.0.1/500 remote 200.0.0.1/500 Active
Capabilities:(none) connid:1011 lifetime:23:58:03
IPSEC FLOW: permit 47 host 100.0.0.1 host 200.0.0.1
Active SAs: 2, origin: crypto map
Inbound: #pkts dec’ed 8 drop 0 life (KB/Sec) 4467199/3493
Outbound: #pkts enc’ed 8 drop 2 life (KB/Sec) 4467199/3493

— Решение:
Надо исправить ACL на R1 и R3:

R1#sh run | s accessaccess-list 120 permit gre host 10.0.0.0 host 10.1.1.0R1(config)# no access-list 120 permit gre host 10.0.0.0 host 10.1.1.0R1(config)# access-list 120 permit gre host 100.0.0.1 host 200.0.0.1R3#sh run | s accessaccess-list 120 permit gre host 10.1.1.0 host 10.0.0.0R3(config)#no access-list 120 permit gre host 10.1.1.0 host 10.0.0.0R3(config)#access-list 120 permit gre host 200.0.0.1 host 100.0.0.1
like 0 views 8044 message 1

1 коментарий

  • Здравствуйте.
    Почему не доступны коммутаторы? Шлюз по умолчанию.

    Спасибо за отзывы.

    29 апреля 2014, 17:31

Ещё статьи

Сети для самых маленьких. Часть ой, всё
Дорогие мои друзья, отважные критики, тихие читатели и тайные почитатели, СДСМ заканчивается. Я не могу похвастаться тем, что за 7 лет я затронул все темы сетевой сферы или тем, что ...
like 2 21450 21
8 апреля 2019
linkmeup и Клиппер. Собес. #2. Junior engineer в Ent
Уже в ближайшее воскресенье будет первый собес с Клиппером. И он начинает отбор кандидатов на другую позицию: Junior engineer в Ent. Ориентировочно интервью состоится 25.02. Если вы чувствуете в себе ...
like 0 4268 0
14 февраля 2018
Задача №8.8
Схема: Условие: ЛинкМиАп использует статические маршруты к провайдерам (не BGP).Конфигурация. Маршрутизаторы провайдеров также не используют BGP.Задание: Настроить переключение между провайдерами.Маршрут по умолчанию к Балаган Телеком должен использоваться до тех пор, ...
like 0 15458 0
24 июня 2013