forum.opennet.ru

Составление сообщения

Исходное сообщение

"Фильтрация трафика и IPSec"
Отправлено Lacunacoil, 23-Ноя-06 22:01

>Есть такая схема:
>Пара десятков устройств D-Link DI-804HV поднимают динамические IPSec-туннели на Cisco 1760.
>D-Link'и настроены по описанию с сайта D-Link'a - http://www.dlink.ru/technical/faq_vpn_4.php
>
>конфиг на циске такой:
>!
>crypto isakmp policy 1
>encr 3des
>hash md5
>authentication pre-share
>group 2
>!
>crypto keyring VPNSpokes
>  pre-shared-key address 192.168.18.0 255.255.255.0 key xxxxxxxxxxx
>!
>crypto isakmp profile VPNLan2Lan
>   description LAN-to-LAN for spoke router(s) connection
>   keyring VPNSpokes
>   match identity address 0.0.0.0
>!
>crypto ipsec transform-set SAMPLE_SET esp-3des
>
>crypto dynamic-map dynmap 10
> set transform-set SAMPLE_SET
> set isakmp-profile VPNLan2Lan
>!
>crypto map VPNmap 10 ipsec-isakmp dynamic dynmap
>!
>interface FastEthernet0/0.1
> description LAN
> encapsulation dot1Q 1 native
> ip address 10.0.0.17 255.255.255.0
> ip virtual-reassembly
>!
>interface FastEthernet0/0.170
> description From Operator
> encapsulation dot1Q 170
> ip address 192.168.18.2 255.255.255.0
> ip access-group FromOperator in
> ip access-group ToOperator out
> crypto map VPNmap
>!
>ip access-list extended FromOperator
> remark --= Access for crypto tunnels =--
> permit esp 192.168.18.0 0.0.0.255 host 192.168.18.2
> permit udp 192.168.18.0 0.0.0.255 host 192.168.18.2 eq isakmp
> remark --= ICMP =--
> permit icmp 192.168.18.0 0.0.0.255 host 192.168.18.2
> deny   ip any any log
>!
>ip access-list extended ToOperator
> remark --= Access for crypto tunnels =--
> permit esp host 192.168.18.2 192.168.18.0 0.0.0.255
> permit udp host 192.168.18.2 192.168.18.0 0.0.0.255 eq isakmp
> remark --= ICMP =--
> permit icmp host 192.168.18.2 192.168.18.0 0.0.0.255 echo
> deny   ip any any log
>!
>
>
>Необходимо прикрутить аксесс-листы, которые будут фильтровать трафик, приходящий от D-Link'ов внутри туннеля.
>Например, пропускать ftp, почту, веб, запрещать netbios.
>
>Вопрос в том, что я не знаю, куда прикрутить эти аксесс-листы. Можно
>ли каким-то образом забиндить IPSec-туннели на некий виртуальный интерфейс типа virtual-template,
>чтобы применить на нем аксесс-листы?
Ну во-первых можно с помощью АКЛ указать какой трафик надо пускать по тунелю.
Второе можно поднять статические тунели.
В Третьих можно повесить на интерфейсы которые смотрят к юзерам.

Исходное сообщение
"Фильтрация трафика и IPSec" Отправлено Lacunacoil, 23-Ноя-06 22:01
>Есть такая схема: >Пара десятков устройств D-Link DI-804HV поднимают динамические IPSec-туннели на Cisco 1760. >D-Link'и настроены по описанию с сайта D-Link'a - http://www.dlink.ru/technical/faq_vpn_4.php > >конфиг на циске такой: >! >crypto isakmp policy 1 >encr 3des >hash md5 >authentication pre-share >group 2 >! >crypto keyring VPNSpokes > pre-shared-key address 192.168.18.0 255.255.255.0 key xxxxxxxxxxx >! >crypto isakmp profile VPNLan2Lan > description LAN-to-LAN for spoke router(s) connection > keyring VPNSpokes > match identity address 0.0.0.0 >! >crypto ipsec transform-set SAMPLE_SET esp-3des > >crypto dynamic-map dynmap 10 > set transform-set SAMPLE_SET > set isakmp-profile VPNLan2Lan >! >crypto map VPNmap 10 ipsec-isakmp dynamic dynmap >! >interface FastEthernet0/0.1 > description LAN > encapsulation dot1Q 1 native > ip address 10.0.0.17 255.255.255.0 > ip virtual-reassembly >! >interface FastEthernet0/0.170 > description From Operator > encapsulation dot1Q 170 > ip address 192.168.18.2 255.255.255.0 > ip access-group FromOperator in > ip access-group ToOperator out > crypto map VPNmap >! >ip access-list extended FromOperator > remark --= Access for crypto tunnels =-- > permit esp 192.168.18.0 0.0.0.255 host 192.168.18.2 > permit udp 192.168.18.0 0.0.0.255 host 192.168.18.2 eq isakmp > remark --= ICMP =-- > permit icmp 192.168.18.0 0.0.0.255 host 192.168.18.2 > deny ip any any log >! >ip access-list extended ToOperator > remark --= Access for crypto tunnels =-- > permit esp host 192.168.18.2 192.168.18.0 0.0.0.255 > permit udp host 192.168.18.2 192.168.18.0 0.0.0.255 eq isakmp > remark --= ICMP =-- > permit icmp host 192.168.18.2 192.168.18.0 0.0.0.255 echo > deny ip any any log >! > > >Необходимо прикрутить аксесс-листы, которые будут фильтровать трафик, приходящий от D-Link'ов внутри туннеля. >Например, пропускать ftp, почту, веб, запрещать netbios. > >Вопрос в том, что я не знаю, куда прикрутить эти аксесс-листы. Можно >ли каким-то образом забиндить IPSec-туннели на некий виртуальный интерфейс типа virtual-template, >чтобы применить на нем аксесс-листы? Ну во-первых можно с помощью АКЛ указать какой трафик надо пускать по тунелю. Второе можно поднять статические тунели. В Третьих можно повесить на интерфейсы которые смотрят к юзерам.

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>Есть такая схема: >>Пара десятков устройств D-Link DI-804HV поднимают динамические IPSec-туннели на Cisco 1760. >>D-Link'и настроены по описанию с сайта D-Link'a - http://www.dlink.ru/technical/faq_vpn_4.php >> >>конфиг на циске такой: >>! >>crypto isakmp policy 1 >>encr 3des >>hash md5 >>authentication pre-share >>group 2 >>! >>crypto keyring VPNSpokes >> pre-shared-key address 192.168.18.0 255.255.255.0 key xxxxxxxxxxx >>! >>crypto isakmp profile VPNLan2Lan >> description LAN-to-LAN for spoke router(s) connection >> keyring VPNSpokes >> match identity address 0.0.0.0 >>! >>crypto ipsec transform-set SAMPLE_SET esp-3des >> >>crypto dynamic-map dynmap 10 >> set transform-set SAMPLE_SET >> set isakmp-profile VPNLan2Lan >>! >>crypto map VPNmap 10 ipsec-isakmp dynamic dynmap >>! >>interface FastEthernet0/0.1 >> description LAN >> encapsulation dot1Q 1 native >> ip address 10.0.0.17 255.255.255.0 >> ip virtual-reassembly >>! >>interface FastEthernet0/0.170 >> description From Operator >> encapsulation dot1Q 170 >> ip address 192.168.18.2 255.255.255.0 >> ip access-group FromOperator in >> ip access-group ToOperator out >> crypto map VPNmap >>! >>ip access-list extended FromOperator >> remark --= Access for crypto tunnels =-- >> permit esp 192.168.18.0 0.0.0.255 host 192.168.18.2 >> permit udp 192.168.18.0 0.0.0.255 host 192.168.18.2 eq isakmp >> remark --= ICMP =-- >> permit icmp 192.168.18.0 0.0.0.255 host 192.168.18.2 >> deny ip any any log >>! >>ip access-list extended ToOperator >> remark --= Access for crypto tunnels =-- >> permit esp host 192.168.18.2 192.168.18.0 0.0.0.255 >> permit udp host 192.168.18.2 192.168.18.0 0.0.0.255 eq isakmp >> remark --= ICMP =-- >> permit icmp host 192.168.18.2 192.168.18.0 0.0.0.255 echo >> deny ip any any log >>! >> >> >>Необходимо прикрутить аксесс-листы, которые будут фильтровать трафик, приходящий от D-Link'ов внутри туннеля. >>Например, пропускать ftp, почту, веб, запрещать netbios. >> >>Вопрос в том, что я не знаю, куда прикрутить эти аксесс-листы. Можно >>ли каким-то образом забиндить IPSec-туннели на некий виртуальный интерфейс типа virtual-template, >>чтобы применить на нем аксесс-листы? > Ну во-первых можно с помощью АКЛ указать какой трафик надо пускать по > тунелю. > Второе можно поднять статические тунели. > В Третьих можно повесить на интерфейсы которые смотрят к юзерам.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру