return

Ответ к задаче №7.5

7 марта 2013, 16:51

Пример процесса поиска неисправностей:
Проверяем доступность loopback’а R3 с R1:

R1#ping 10.1.1.0 source 10.0.0.0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.0, timeout is 2 seconds:
Packet sent with a source address of 10.0.0.0
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 200/215/220 ms

Проверяем isakmp sa (их нет):

R1#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status

Самые простые причины могут быть такими:
— не применена cryto-map
— не правильно настроена crypto-map
— трафик не попадает под описание того трафика, который надо шифровать
Проверяем настройки crypto-map:

R1#sh crypto map
Crypto Map «CRMAP1» 10 ipsec-isakmp
Peer = 200.0.0.1
Extended IP access list 120
access-list 120 permit gre host 10.0.0.0 host 10.1.1.0
Current peer: 200.0.0.1
Security association lifetime: 4608000 kilobytes/3600 seconds
Responder-Only (Y/N): N
PFS (Y/N): N
Transform sets={
AES128-SHA: { esp-aes esp-sha-hmac },
}
Interfaces using crypto map CRMAP1:
FastEthernet0/0

В конце видим, что crypto-map применена на правильный интерфейс, peer указан правильно.
Но если внимательно присмотреться к ACL, то видно, что он неправильно настроен.
Хотя, первичный трафик идет с 10.0.0.0 на 10.1.1.0, затем он инкапсулируется в GRE, и до физического интерфейса уже доходит с адресами в заголовках, не 10.0.0.0 и 10.1.1.0, а 100.0.0.1 и 200.0.0.1.
Надо исправить ACL на R1:

R1#sh run | s accessaccess-list 120 permit gre host 10.0.0.0 host 10.1.1.0R1(config)# no access-list 120 permit gre host 10.0.0.0 host 10.1.1.0R1(config)# access-list 120 permit gre host 100.0.0.1 host 200.0.0.1

Аналогично проверяем на R3:

R3#sh crypto map
Crypto Map «CRMAP1» 10 ipsec-isakmp
Peer = 100.0.0.1
Extended IP access list 120
access-list 120 permit gre host 10.1.1.0 host 10.0.0.0
Current peer: 100.0.0.1
Security association lifetime: 4608000 kilobytes/3600 seconds
Responder-Only (Y/N): N
PFS (Y/N): N
Transform sets={
AES128-SHA: { esp-aes esp-sha-hmac },
}
Interfaces using crypto map CRMAP1:
FastEthernet0/1

Исправляем ACL и на R3:

R3#sh run | s accessaccess-list 120 permit gre host 10.1.1.0 host 10.0.0.0R3(config)#no access-list 120 permit gre host 10.1.1.0 host 10.0.0.0R3(config)#access-list 120 permit gre host 200.0.0.1 host 100.0.0.1

Проверяем:

R1#ping 10.1.1.0 source 10.0.0.0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.0, timeout is 2 seconds:
Packet sent with a source address of 10.0.0.0
!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 548/588/600 ms

R1#sh crypto isa sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
200.0.0.1 100.0.0.1 QM_IDLE 1011 ACTIVE

R1#sh crypto session detail
Crypto session current status

Code: C — IKE Configuration mode, D — Dead Peer Detection
K — Keepalives, N — NAT-traversal, T — cTCP encapsulation
X — IKE Extended Authentication, F — IKE Fragmentation

Interface: FastEthernet0/0
Uptime: 00:01:46
Session status: UP-ACTIVE
Peer: 200.0.0.1 port 500 fvrf: (none) ivrf: (none)
Phase1_id: 200.0.0.1
Desc: (none)
IKE SA: local 100.0.0.1/500 remote 200.0.0.1/500 Active
Capabilities:(none) connid:1011 lifetime:23:58:03
IPSEC FLOW: permit 47 host 100.0.0.1 host 200.0.0.1
Active SAs: 2, origin: crypto map
Inbound: #pkts dec’ed 8 drop 0 life (KB/Sec) 4467199/3493
Outbound: #pkts enc’ed 8 drop 2 life (KB/Sec) 4467199/3493

— Решение:
Надо исправить ACL на R1 и R3:

R1#sh run | s accessaccess-list 120 permit gre host 10.0.0.0 host 10.1.1.0R1(config)# no access-list 120 permit gre host 10.0.0.0 host 10.1.1.0R1(config)# access-list 120 permit gre host 100.0.0.1 host 200.0.0.1R3#sh run | s accessaccess-list 120 permit gre host 10.1.1.0 host 10.0.0.0R3(config)#no access-list 120 permit gre host 10.1.1.0 host 10.0.0.0R3(config)#access-list 120 permit gre host 200.0.0.1 host 100.0.0.1
like 0 views 5967 message 1

1 коментарий

  • Здравствуйте.
    Почему не доступны коммутаторы? Шлюз по умолчанию.

    Спасибо за отзывы.

    29 апреля 2014, 17:31

Ещё статьи

Ответ к задаче №6.5
Задача 6.5На msk-arbat-gw1:msk-arbat-gw1(config)# router ospf 1msk-arbat-gw1(config-router)# default-information originate metric 30 metric-type 1
like 0 7830 1
29 октября 2012
Анонс подкаста. Выпуск 22
21-го декабря в 15:00 по Мск здесь будет 22-й выпуск подкаста linkmeup. В гостях инженеры из российской компании НТЦ Метротек — Иван Шевчук и Павел Курочкин. Они расскажут о том, ...
like 0 5471 4
15 декабря 2014
Автоматизация Для Самых Маленьких. Часть первая (которая после нулевой). Виртуализация сети
В предыдущем выпуске я описал фреймворк сетевой автоматизации. По отзывам у некоторых людей даже этот первый подход к проблеме уже разложил некоторые вопросы по полочкам. И это очень меня радует, ...
like 449 27687 7
7 июня 2019