faq обучение настройка
Текущее время: Чт мар 28, 2024 17:43

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 5 ] 
Автор Сообщение
СообщениеДобавлено: Ср окт 24, 2018 11:51 
Не в сети

Зарегистрирован: Чт июл 05, 2018 13:52
Сообщений: 4
Доброго времени суток!
Извиняюсь, возможно есть уже аналогичная тема – не нашел.
Интересует вопрос возможности настройки IPsec между оборудованием DFL (модели 860, 870 и 1606) и cisco по принципу VTI.
Т.е. со стороны cisco создаем crypto ipsec profile <…> и применяем его к interface Tunnel

interface Tunnel1
ip add x.x.x.x x.x.x.x.x
tunnel mode ipsec ipv4
tunnel protection ipsec profile <…>
!
Возможно реализовать такой вариант?

В дальнейшем планируется поднять OSPF через ip на Tunnel интерфейсах.
Сократить конфигурацию на cisco убрав crypto map и не прописывать вручную сети, желаемые завернуть в IPsec.

Спасибо!


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср окт 24, 2018 22:04 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
а что то делали ?! есть логи ?! настройки ?!
Или ищите копипаст решение ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт окт 25, 2018 10:13 
Не в сети

Зарегистрирован: Чт июл 05, 2018 13:52
Сообщений: 4
Согласен, закономерные вопросы.
На данный момент IPsec между dfl и cisco работает. Но в варианте создания crypto map и привязывания оного на внешний интерфейс.
Интересовал вопрос возможности в принципе настройки связки dfl и cisco (по принципу VTI). Если это возможно – приведу конфиги и логи, будем думать дальше
Возможно, уже реализовывали такую схему и есть пример рабочих конфигураций для копипаст
Пробовал на стенде – корректно не получилось. Думаю, может зря пытаюсь?
В варианте настройки cisco с crypto map – статусы Session:
# sho crypto session
Session status: UP-ACTIVE
#sho crypto isakmp sa
X.X.X.X Y.Y.Y.Y QM_IDLE ACTIVE

В варианте настройки с crypto ipsec profile и привязке его на интерфейс tunnel в tunnel mode ipsec ipv4:
# sho crypto session
В начале
Session status: UP-ACTIVE
Через секунд примерно 20
Session status: UP-NO-IKE
#sho crypto isakmp sa
Сразу статус
X.X.X.X Y.Y.Y.Y QM_IDLE ACTIVE
Через секунд 20
X.X.X.X Y.Y.Y.Y MM_NO_STATE ACTIVE (deleted)

При этом статус самого Tunnel интерфейса на cisco – up . Ipsec на dfl - up
Трафик между dfl и cisco бегает (ping)
Судя по счетчикам шифруется
#sho crypto ipsec sa
Inbound: #pkts dec'ed 155 drop 0 life (KB/Sec) 4410286/2893
Outbound: #pkts enc'ed 25 drop 0 life (KB/Sec) 4410298/2893

Смущает очень статусы
Session status: UP-NO-IKE
X.X.X.X Y.Y.Y.Y MM_NO_STATE ACTIVE (deleted)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт окт 25, 2018 10:51 
Не в сети

Зарегистрирован: Чт июл 05, 2018 13:52
Сообщений: 4
Уточню статус на DFL
Ipsec status – up – связка установилась
Ipsec IKE status – пусто – связки нет

Хочется аналог решения cisco-cisco ipsec по принципу VTI с ip на интерфейсах с двух сторон.
Чтоб не городить GRE между dfl – cisco, а потом весить на него ipsec (crypto map) и далее поднимать на GRE интерфейсах OSPF


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт окт 26, 2018 06:36 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
Такого ко не делали точно, вы первый.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 5 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 38


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB