Главная страница
О проекте Навигация Контакт
Поиск


ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Dmitriy Stepanenko                   2:5020/400     08 Apr 2002  16:42:10
 To : All
 Subject : IPSec'овый туннель сам не поднимается
 -------------------------------------------------------------------------------- 
 
 Добрый день, дорогой Олл,
 
 Вот есть у меня две циски, 2610 и 1720 (и, соответственно, два ЛАHа),
 соединенные, грубо говоря, через интернет ipsec'овым туннелем. Я про этот
 туннель уже много раз сюда жаловался, может уж и надоел сколько-то. Hу, со
 старыми бедами кое-как в основном разобрался, но одна вот осталась. Такая
 вот: если одна из цисок перезагружается, то связь между ЛАHами сама не
 восстанавливается, хотя между самими цисками она восстанавливается легко.
 Чтобы пропинговаться из одного ЛАHа в другой нужно сделать одну из двух
 вещей:
 
 1) сбросить security association'ы (clear crypro sa) на той циске, что _не_
 перегружалась, либо
 
 2) пингануться с той циски, что перегружалась на противоположную. Это, к
 счастью, можно сделать, находясь на любом конце, т.к. телнет из циски в
 циску работает сразу.
 
 После того, как это сделано, все оживает и появляется связь между ЛАHами и,
 а в дебаг логе при этом видна интенсивная деятельность по созданию SA. Hо
 это меня не устраивает, так как хотелось бы, чтобы канал восстанавливался
 сам (а ну как он ночью упадет).
 
 Кто-нибудь сталкивался с подобным или знает, как с этим бороться? Вполне
 допускаю, что у меня может быть чего-нибудь недокручено.
 
 Далее следуют выдержки из конфигов. Добавлю также, что в ЛАHах используются
 приватные адреса вида 10..х.х.х. Одна циска (2610) находится в сети
 10.8.6.0/24 и реальный адрес ее туннельного интерфейса назовем x.x.x.x, а
 другая (1720) - в сети 10.8.15.0/24 ее реальный адрес назовем y.y.y.y. А
 теперь конфиги:
 
 Со стороны 2610:
 
 crypto isakmp policy 10
  encryption des
  hash md5
  authentication rsa-encr
  group 1
  lifetime 86400
 
 crypto isakmp identity address
 
 crypto key pubkey-chain rsa
  addressed-key y.y.y.y
   key-string
      ....................................................................
   quit
 
 ip access-list extended IpsecForSlav
  permit ip 10.0.0.0 0.255.255.255 any
  permit ip any 10.0.0.0 0.255.255.255
  permit ip host x.x.x.x host y.y.y.y
 
 crypto ipsec transform-set Kram-SlavXfm esp-des
  mode tunnel
 
 crypto map Slav-ipsec 10 ipsec-isakmp
  set peer y.y.y.y
  match address IpsecForSlav
  set transform-set Kram-SlavXfm
 
 ip access-list extended SlavWall
  permit icmp any host x.x.x.x
  deny tcp any host x.x.x.x eq telnet
  deny tcp any host x.x.x.x eq cmd
  permit ip host y.y.y.y host x.x.x.x
  permit ip 10.8.15.0 0.0.0.255 any
 
 interface Serial0/0.4 point-to-point
  description Slavyansk
  bandwidth 64
  frame-relay interface-dlci 47
  frame-relay class Kram-Slav
  ip address x.x.x.x 255.255.255.252
  ip access-group SlavWall in
  ip audit Karatzupa in
  ip nat inside
  ip access-group SlavWall in
  ip policy route-map SvcPolicyUp
  crypto map Slav-ipsec
 Со стороны 1720:
 
 crypto isakmp policy 10
  encryption des
  hash md5
  authentication rsa-encr
  group 1
  lifetime 86400
 
 crypto isakmp identity address
 
 crypto key pubkey-chain rsa
  addressed-key x.x.x.x
   key-string
     ....................................................
   quit
 
 ip access-list extended IpsecForKram
  permit ip 10.0.0.0 0.255.255.255 any
  permit ip any 10.0.0.0 0.255.255.255
  permit ip host y.y.y.y host x.x.x.x
 
 crypto ipsec transform-set Kram-SlavXfm esp-des
  mode tunnel
 
 crypto map Kram-ipsec 10 ipsec-isakmp
  set peer x.x.x.x
  match address IpsecForKram
  set transform-set Kram-SlavXfm
 
 ip access-list extended KramWall
  permit icmp any host y.y.y.y
  deny tcp any host y.y.y.y eq telnet
  deny tcp any host y.y.y.y eq cmd
  permit ip host x.x.x.x host y.y.y.y
  permit ip any 10.8.15.0 0.0.0.255
 
 interface Serial0
  physical-layer sync
  description Kramatorsk
  bandwidth 64
  ip address y.y.y.y 255.255.255.252
  encapsulation hdlc
  ip access-group KramWall in
  crypto map Kram-ipsec
 
 --
 
 Sayonara
 _______________________________________
 Dmitriy Stepanenko aka Mudropolk
 e-mail: mpolk@kt-privat.donetsk.ua
 ICQ: 112689047 phone: (38)(0626)41-93-06
 --- ifmail v.2.15dev5
  * Origin: Satellite Net Service company (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 IPSec\'овый туннель сам не поднимается   Dmitriy Stepanenko   08 Apr 2002 16:42:10 
Архивное /ru.cisco/13028e14932d5.html, оценка 3 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional