Frozen Fido : RU.CISCO : Re: IPSec - наивный вопрос

ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Aleksey Loginov                      2:5020/400     30 May 2003  12:02:36
 To : Victor Sudakov
 Subject : Re: IPSec - наивный вопрос
 --------------------------------------------------------------------------------

 > <bb6gg2$2mdr$1@mpeks.tomsk.su>
 
 From: Aleksey Loginov <lan@entel.kiev.ua>
 
 Привет.
 
 Victor Sudakov пишет:
 
 VS> Aleksey Loginov <lan@entel.kiev.ua> wrote:
 VS>>
 VS>> VS> Проблема в том, что если про какой-нибудь интерфейс забуду, 
 
 мап не
 
 VS>> VS> повешу  и трафик через него завернется, пакеты уйдут 
 
 нешифрованные?
 
 VS>> В принципе - да, HО пир их дропнет...
 VS>> Суть в том, что мапы должны быть двухсторонние!!!
 VS>> И если ты с одной стороны мар прицепишь, а с другой забудешь,
 VS>> то пир скажет: Блин, я ждал крипто-пакет, а мне пришла какая-то
 VS>> фигня! :)
 
 VS> А откуда он знает, что они должны придти криптованными?
 VS> Пришел пакет и пришел, значит его следует отфорвардить куда 
 
 положено.
 
 Если на интерфейс навесить крипто мап, то входящий трафик будет
 проверяться на соответствие крипто-ACL. Обязательно! И если
 пакеты удовлетворяют условиям ACL, но они не криптованы, то
 по будут тупо дропаться.
 А вот если крипто-ACL пакет "проигнорирует", то дальше будут работать
 остальные правила, и в частности форвардинг куда положено :)
 
 VS>> Это одна из причин, почему _весь_ трафик не рекомендуется 
 
 криптовать,
 
 VS>> хотя бы во время отладки.
 VS>>
 VS>> VS>> Чтобы сразу куча ассоциаций не устанавливалась и
 VS>> VS>> не забивала каналы и голову, пропиши
 VS>> VS>> crypto map _имя_ local-address _interface_
 VS>>
 VS>> VS> Хороший совет, спасибо. Loopback можно?
 VS>> Hужно! :)))
 
 VS> А на isakmp ассоциации это влияет?
 VS> В смысле в "crypto isakmp key test123 address" надо будет
 VS> прописывать адреса Loopback-ов друг друга?
 
 Hу да.
 
 -- 
 Aleksey N. Loginov
 CCNP, CCDA, Cisco Firewall Specialist
 Enran Telecom, Kiev, Ukraine, Phone: +380(44)2498990
 Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
 --- ifmail v.2.15dev5
  * Origin: Talk.ru (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
IPSec - наивный вопрос	Victor Sudakov	28 May 2003 13:14:22
Re: IPSec - наивный вопрос	Vitaly Gonchar	28 May 2003 17:08:25
Re: IPSec - наивный вопрос	Victor Sudakov	28 May 2003 19:15:36
Re: IPSec - наивный вопрос	Dmitriy Stepanenko	28 May 2003 17:44:50
Re: IPSec - наивный вопрос	Victor Sudakov	28 May 2003 19:23:11
Re: IPSec - наивный вопрос	Aleksey Loginov	29 May 2003 12:05:58
Re: IPSec - наивный вопрос	Victor Sudakov	29 May 2003 12:56:11
Re: IPSec - наивный вопрос	Aleksey Loginov	29 May 2003 14:09:42
Re: IPSec - наивный вопрос	Victor Sudakov	29 May 2003 14:49:30
Re: IPSec - наивный вопрос	Aleksey Loginov	29 May 2003 15:09:20
Re: IPSec - наивный вопрос	Victor Sudakov	30 May 2003 06:53:57
Re: IPSec - наивный вопрос	Aleksey Loginov	30 May 2003 12:02:36
Re: IPSec - наивный вопрос	Victor Sudakov	30 May 2003 20:17:15
Re: IPSec - наивный вопрос	Aleksey Loginov	02 Jun 2003 10:56:58
Re: IPSec - наивный вопрос	Victor Sudakov	02 Jun 2003 14:44:56
Re: IPSec - наивный вопрос	Aleksey Loginov	02 Jun 2003 15:04:56
Re: IPSec - наивный вопрос	Victor Sudakov	02 Jun 2003 21:42:24
Re: IPSec - наивный вопрос	Alexey Milevsky	03 Jun 2003 11:50:58
Re: IPSec - наивный вопрос	Victor Sudakov	03 Jun 2003 13:29:15
Re: IPSec - наивный вопрос	Alexey Milevsky	03 Jun 2003 14:04:27
Re: IPSec - наивный вопрос	Victor Sudakov	03 Jun 2003 17:39:36
Re: IPSec - наивный вопрос	Alexey Milevsky	03 Jun 2003 21:39:52
IPSec - наивный вопрос	Slawa Olhovchenkov	04 Jun 2003 02:34:26
Re: IPSec - наивный вопрос	Victor Sudakov	04 Jun 2003 17:59:59
Re: IPSec - наивный вопрос	Alexey Milevsky	05 Jun 2003 16:19:56
Re: IPSec - наивный вопрос	Dmitriy Stepanenko	03 Jun 2003 10:54:49
Re: IPSec - наивный вопрос	Oleg Zaytsev	29 May 2003 00:02:35
Re: IPSec - наивный вопрос	Vladimir Litovka	03 Jun 2003 10:15:18

Архивное /ru.cisco/64882935fba2.html, оценка 2 из 5, голосов 10