Уважаемые, помогите пожалуйста советом. Поднимаю туннель. При применении crypto map вешается интерфейс на который она применяется. И никак не могу поднять соединение. Туннели зашифрованные с помощью ipsec profile работают без проблем. Но у меня задача, подключить много розничных точек, так что кучу VTI создавать нет желания.Предполагается, что каждая розничная точка будет иметь подсеть с 28-битной маской. И все они будут объединены в supernet 172.17.0.0 255.255.0.0, чтобы не писать множественные маршруты и access листы.
a.a.a.a - внешний IP филиала 1
b.b.b.b - внешний IP филиала 2
x.x.x.x - внешний IP предполагаемого магазина
c.c.c.c - внешний IP выделеной ISP подсети маршрутизируемой вовне (является шлюзом для этой подсети)
z.z.z.z - внешний IP к ISP
y.y.y.y - шлюз ISP
Конфиг:
!
crypto keyring Branch1Key
pre-shared-key address a.a.a.a key Superkey1
crypto keyring Branch2Key
pre-shared-key address b.b.b.b key Superkey2
crypto keyring ShopsKey
pre-shared-key address 0.0.0.0 0.0.0.0 key MegaSuperKey
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp profile Branch1
keyring Branch1Key
match identity address a.a.a.a 255.255.255.255
crypto isakmp profile Branch2
keyring Branch2Key
match identity address b.b.b.b 255.255.255.255
crypto isakmp profile Shops
keyring ShopsKey
match identity address 0.0.0.0
!
!
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
mode transport
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile Branch1IPSec
set transform-set 3DES-SHA
set isakmp-profile Branch1
!
crypto ipsec profile Branch2IPSec
set transform-set 3DES-SHA
set isakmp-profile Branch2
!
!
!
!
!
!
!
!
crypto map VPNShops 10 ipsec-isakmp
set peer x.x.x.x
set security-association lifetime seconds 28800
set transform-set 3DES-SHA
set pfs group2
set isakmp-profile Shops
match address 100
!
!
!
!
!
!
interface Tunnel0
description ===== Branch1 =====
ip address 192.168.100.1 255.255.255.252
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source c.c.c.c
tunnel mode ipsec ipv4
tunnel destination a.a.a.a
tunnel protection ipsec profile Branch1IPSec
!
interface Tunnel1
description ===== Branch2 =====
ip address 192.168.101.1 255.255.255.252
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source c.c.c.c
tunnel mode ipsec ipv4
tunnel destination b.b.b.b
tunnel protection ipsec profile Branch2IPSec
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.1
description ===== DMZ =====
encapsulation dot1Q 6
ip address c.c.c.c 255.255.255.240
crypto map VPNShops
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.1
description ===== Management =====
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
!
interface GigabitEthernet0/1.2
!
interface GigabitEthernet0/2
description ===== Internet Comstar =====
ip address z.z.z.z 255.255.255.252
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 y.y.y.y
ip route 172.17.0.0 255.255.0.0 GigabitEthernet0/0.1
ip route 192.168.110.0 255.255.255.0 192.168.10.254
ip route 192.168.111.0 255.255.255.0 192.168.10.254
ip route 192.168.120.0 255.255.255.0 Tunnel0
ip route 192.168.121.0 255.255.255.0 Tunnel1
!
access list 100 permit ip any any
Почему перестаёт работать доступ в Интернет и из Интернета через с.с.с.с при применении crypto map?
Првильно ли написан конфиг для туннеля на crypto map?
И правильно ли я понимаю supernet и маршрутизацию в пределах данной задачи?
Заранее прошу прощения за детские ошибки, если есть, моё познание Cisco только начинается.
