|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Victor Sudakov 2:5020/400 30 May 2003 06:53:57
To : Aleksey Loginov
Subject : Re: IPSec - наивный вопрос
--------------------------------------------------------------------------------
>
From: Victor Sudakov <sudakov@sibptus.tomsk.ru>
Aleksey Loginov <lan@entel.kiev.ua> wrote:
>
> VS> Проблема в том, что если про какой-нибудь интерфейс забуду, мап не
> VS> повешу и трафик через него завернется, пакеты уйдут нешифрованные?
> В принципе - да, HО пир их дропнет...
> Суть в том, что мапы должны быть двухсторонние!!!
> И если ты с одной стороны мар прицепишь, а с другой забудешь,
> то пир скажет: Блин, я ждал крипто-пакет, а мне пришла какая-то
> фигня! :)
А откуда он знает, что они должны придти криптованными?
Пришел пакет и пришел, значит его следует отфорвардить куда положено.
> Это одна из причин, почему _весь_ трафик не рекомендуется криптовать,
> хотя бы во время отладки.
>
> VS>> Чтобы сразу куча ассоциаций не устанавливалась и
> VS>> не забивала каналы и голову, пропиши
> VS>> crypto map _имя_ local-address _interface_
>
> VS> Хороший совет, спасибо. Loopback можно?
> Hужно! :)))
А на isakmp ассоциации это влияет?
В смысле в "crypto isakmp key test123 address" надо будет прописывать
адреса Loopback-ов друг друга?
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/149@fidonet http://vas.tomsk.ru/
--- ifmail v.2.15dev5
* Origin: AO "Svyaztransneft", SibPTUS (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
