|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Dmitry V. Golov 2:5020/400 22 Jan 2002 18:18:00
To : All
Subject : ipsec with IP and IPX over GRE Tunnel
--------------------------------------------------------------------------------
Приветствую
Hадо - по GRE туннелю заставить бегать IP и IPX. При этом туннель проходит
по инету, поэтому его надо зашифровать. Использую для шифрации ipsec.
Естественно шифрую транспорт туннеля. Делаю все примерно так же, как сказано
на цискином сайте (конфиги - ниже).
Пока не вкллючаю криптование туннеля - все работает прекрасно.
Как только включаю криптование crypto map GRE (смотри конфиг ниже) -
перестает работать, информация по туннелю не йдет, хотя написано что туннель
протокол ап.
При этом в дебуге Crypto ISAKMP и Crypto Engine одна из цисок
((C1700-BNO3R2SY756I-M), Version 12.1(3)XT2) кричит
3d03h: %CRYPTO-4-RECVD_PKT_NOT_IPSEC: Rec'd packet not an IPSEC packet.
(ip) dest_addr= 222.222.222.222, src_addr= 111.111.111.111, prot= 47
Почему так?что не то? что ей не нравится?
Заранее спасибо,
noc@bancorp.ru
Конфиги:
------------------------------------------------------
(C2600-JS56I-M), Version 12.0(7)T
crypto isakmp policy 25
hash md5
authentication pre-share
crypto isakmp key cisco123 address 222.222.222.222
!
!
crypto ipsec transform-set WWW esp-des esp-md5-hmac
mode transport
!
!
crypto map GRE local-address Loopback0
crypto map GRE 50 ipsec-isakmp
set peer 222.222.222.222
set transform-set WWW
match address 101
....
interface Loopback0
ip address 111.111.111.111 255.255.255.255
no ip directed-broadcast
!
interface Tunnel0
ip address 192.168.8.1 255.255.255.252
no ip directed-broadcast
ipx network DDDD
ipx type-20-propagation
tunnel source 111.111.111.111
tunnel destination 222.222.222.222
....
interface Serial0/0.1 point-to-point
bandwidth 128
ip address a.a.a.a 255.255.255.252
ip access-group 110 in
no ip directed-broadcast
no cdp enable
frame-relay interface-dlci 50
crypto map GRE
....
access-list 101 permit gre host 111.111.111.111 host 222.222.222.222
access-list 110 permit icmp any any
access-list 110 permit tcp any any established
access-list 110 permit tcp any any eq www
access-list 110 permit tcp any any eq pop3
access-list 110 permit tcp any any eq smtp
access-list 110 permit tcp any any eq ftp
access-list 110 permit tcp any any eq ftp-data
access-list 110 permit tcp any any eq nntp
access-list 110 permit udp any any eq 119
access-list 110 permit udp any any eq ntp
access-list 110 deny udp any any range 135 netbios-ss
access-list 110 deny tcp any any range 135 139
access-list 110 deny udp any any eq 31337
access-list 110 deny udp any any eq syslog
access-list 110 deny ip host 0.0.0.0 any
access-list 110 deny ip 10.0.0.0 0.255.255.255 any
access-list 110 deny ip 127.0.0.0 0.255.255.255 any
access-list 110 deny ip 172.16.0.0 0.15.255.255 any
access-list 110 permit ip any any
----------------------------------------------------------------------------
------------------
(C1700-BNO3R2SY756I-M), Version 12.1(3)XT2
crypto isakmp policy 25
hash md5
authentication pre-share
crypto isakmp key cisco123 address 111.111.111.111
!
!
crypto ipsec transform-set WWW esp-des esp-md5-hmac
mode transport
!
crypto map GRE local-address Loopback0
crypto map GRE 50 ipsec-isakmp
set peer 111.111.111.111
set transform-set WWW
match address 101
....
interface Loopback0
ip address 222.222.222.222 255.255.255.255
!
interface Tunnel0
ip address 192.168.8.2 255.255.255.252
ipx network DDDD
ipx type-20-propagation
tunnel source 222.222.222.222
tunnel destination 111.111.111.111
....
interface Ethernet0
ip address b.b.b.b 255.255.255.240
ip nat outside
no ip route-cache
no ip mroute-cache
full-duplex
crypto map GRE
....
access-list 101 permit gre host 222.222.222.222 host 111.111.111.111
----------------------------------------------------------------------------
---------------------------
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
