|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : anton@sibur-rt.ru 2:5020/400 10 Jul 2007 11:26:55
To : All
Subject : GRE туннель + IPSec не типовая схема
--------------------------------------------------------------------------------
Добрый день,
Помогите решить задачу.
Есть два пограничных маршрутизатора Cisco в филиалах подключенных по
IPsec к Cisco ASA центрального офиса.
За ASA внутри сети центрального офиса есть Центральный маршрутизатор.
Задача, сделать маршрутизацию между региональными сетками используя
GRE over IPsec, с учётом того, что GRE туннели будут терминироваться
на Центральном Cisco Router на котором прописаны статик роуты на
региональные сетки. А маршрутизаторы на филиалах будут терминировать
GRE к Центральному маршрутизатору в ЛВС ЦО через IPsec и одновременно
обеспечивать IPSec к ASA.
Вопрос, как заставить эту схему работать?
Итак, задача - маршрутизация региональных сетей через роутер
Центрального офиса с использованием GRE over IPSec.
Центральный маршрутизатор (Маршрутизатор в ЦО):
interface Tunnel0
ip address 172.29.200.1 255.255.255.252
tunnel source Ethernet0
tunnel destination 172.29.112.251
!
interface Tunnel1
ip address 172.29.201.1 255.255.255.252
tunnel source Ethernet0
tunnel destination 172.29.96.1
!
interface Ethernet0
ip address 172.29.31.254 255.255.224.0
ip route 172.29.96.0 255.255.240.0 172.29.201.2 ip route 172.29.112.0
255.255.240.0 172.29.200.2 ip route 172.29.112.251 255.255.255.255
172.29.1.254 (где, .1.254 - это inside interface АСА, на которой
терминируются IPsec региональных цисок, а .112.251 IP addr. внутренней
карты регионального
маршрутизатора)
ip route 172.29.96.1 255.255.255.255 172.29.1.254 и тоже самое для
второго роутера.
С центрального роутера прекрасно видно внутренние интерфейсы
региональных маршрутизаторов через IPSec.
Далее сообственно конфигурации региональных роутеров.
interface Tunnel0
ip address 172.29.200.2 255.255.255.252
tunnel source FastEthernet0/1 --- В этом сильное сомнение, так как
IPsec устанавливается с Cisco явно не с этого интерфейса.
tunnel destination 172.29.31.254
!
interface FastEthernet0/0
description Connected to WAN
ip address 62.168.XXX.YYY 255.255.255.252 ip access-group 120 in no ip
redirects no ip unreachables no ip proxy-arp ip nat outside ip inspect
srt in ip inspect srt out ip ips ips_rule in no ip virtual-reassembly
ip route-cache flow duplex auto speed auto crypto map SRT
interface FastEthernet0/1
description Connected to E-burg filial LAN ip address 172.29.112.251
255.255.240.0 ip access-group 130 in no ip redirects no ip
unreachables no ip proxy-arp ip nat inside no ip virtual-reassembly ip
route-cache flow duplex auto speed auto ip route 0.0.0.0 0.0.0.0
62.168.ZZZ.141 - Дефолтный шлюз ip route 172.29.96.0 255.255.240.0
Tunnel0 - Маршрут на сеть другого региона, через Центральный офис
(пробовал заместо Tunnel0 подставлять IP addr. туннеля циски в ЦО) !
Hа втором роутере такая же картина, только соответственно IP адреса
иные для туннеля и маршрут на данную циску и LAN этого филиала.
Боюсь, что надо что-то "городить" на цисках в регионах, так как на них
одновременно терминируется IPSec и строится GRE к ЦО..
ПОМОГИТЕ всю Циску и Гугл перекопал, но данная схема не тривиальна и
подобного описания не нашел.
Может так вообще не получиться?
Спасибо
СУВЖ Антон.
--- ifmail v.2.15dev5.3
* Origin: http://groups.google.com (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
