форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"VPN hub to spoke и маршрутизация"	+/–
Сообщение от DKu (ok) on 26-Авг-14, 13:24
Коллеги, помогите, пожалуйста новичку. Задача связать с ЦО розничные точки используя Hub and Spoke. На той стороне D-Link DSR-150. Туннель ставиться без проблем, но отчего-то не кладётся маршрут. Конфиг: crypto keyring Branch1Key   pre-shared-key address x.x.x.x key Megapass crypto keyring Branch2Key   pre-shared-key address z.z.z.z key Megapass crypto keyring RetailKey   pre-shared-key address 0.0.0.0 0.0.0.0 key Superpass ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 ! crypto isakmp policy 20 encr 3des hash md5 authentication pre-share group 2 lifetime 28800 crypto isakmp profile Branch1    keyring Branch1Key    match identity address x.x.x.x 255.255.255.255 crypto isakmp profile Branch2    keyring Branch2Key    match identity address z.z.z.z 255.255.255.255 crypto isakmp profile Retail    keyring RetailKey    match identity address 0.0.0.0 ! ! crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac mode transport crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac ! crypto ipsec profile HQ-Br1 set transform-set 3DES-SHA set isakmp-profile Branch1 ! crypto ipsec profile HQ-Br2 set transform-set 3DES-SHA set isakmp-profile Branch2 ! ! crypto dynamic-map Shops 20 set transform-set 3DES-MD5 set pfs group2 set isakmp-profile Retail match address Shops reverse-route ! ! crypto map Shops 20 ipsec-isakmp dynamic Shops ! ! ! ! ! ! interface Tunnel0 description ===== VPN to Br1 ===== ip address 192.168.100.1 255.255.255.252 ip mtu 1400 ip tcp adjust-mss 1360 tunnel source y.y.y.y tunnel mode ipsec ipv4 tunnel destination x.x.x.x tunnel protection ipsec profile HQ-Br1 ! interface Tunnel1 description ===== VPN to Br2 ===== ip address 192.168.101.1 255.255.255.252 ip mtu 1400 ip tcp adjust-mss 1360 tunnel source y.y.y.y tunnel mode ipsec ipv4 tunnel destination z.z.z.z tunnel protection ipsec profile HQ-Br2 ! interface GigabitEthernet0/0 description ===== ISP ===== ip address 1.1.1.1 255.255.255.252 duplex auto speed auto ! interface GigabitEthernet0/1 description ===== Internal ===== ip address 10.1.0.1 255.255.255.0 duplex auto speed auto ! interface GigabitEthernet0/2 description ===== White Network ===== ip address y.y.y.y 255.255.255.224 ip access-group Global_External in crypto map Shops duplex auto speed auto ! interface Vlan1 no ip address ! ! router eigrp 2 network 10.1.0.0 network 192.168.100.0 network 192.168.101.0 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 1.1.1.1 ! ip access-list extended Global_External permit ip any any ip access-list extended Shops permit ip 10.1.0.0 0.0.0.255 172.17.0.0 0.0.255.255
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "VPN hub to spoke и маршрутизация"	+/–
Сообщение от Andrey (??) on 26-Авг-14, 16:44
>[оверквотинг удален] > ! > no ip http server > no ip http secure-server > ! > ip route 0.0.0.0 0.0.0.0 1.1.1.1 > ! > ip access-list extended Global_External >  permit ip any any > ip access-list extended Shops >  permit ip 10.1.0.0 0.0.0.255 172.17.0.0 0.0.255.255 EIGRP на D-Link? Уверены?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "VPN hub to spoke и маршрутизация"	+/–
	Сообщение от DKu (ok) on 26-Авг-14, 18:27
	>[оверквотинг удален] >> no ip http server >> no ip http secure-server >> ! >> ip route 0.0.0.0 0.0.0.0 1.1.1.1 >> ! >> ip access-list extended Global_External >>  permit ip any any >> ip access-list extended Shops >>  permit ip 10.1.0.0 0.0.0.255 172.17.0.0 0.0.255.255 > EIGRP на D-Link? Уверены? Нет, EIGRP не для D-Link, кусок конфига показан с целью обозначить, что есть ещё VTI с маршрутизацией сетей по EIGRP. Я не знаю как мне проложить маршрут к сетям, которые за туннелями на криптомапах. Разве это вместе не может жить? Тут вообще ключевой момент использование (или не использование) reverse route
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "VPN hub to spoke и маршрутизация"	+/–
	Сообщение от DKu (ok) on 17-Сен-14, 13:10
	>[оверквотинг удален] >>> ip access-list extended Global_External >>>  permit ip any any >>> ip access-list extended Shops >>>  permit ip 10.1.0.0 0.0.0.255 172.17.0.0 0.0.255.255 >> EIGRP на D-Link? Уверены? > Нет, EIGRP не для D-Link, кусок конфига показан с целью обозначить, что > есть ещё VTI с маршрутизацией сетей по EIGRP. > Я не знаю как мне проложить маршрут к сетям, которые за туннелями > на криптомапах. Разве это вместе не может жить? Тут вообще ключевой > момент использование (или не использование) reverse route UP. Коллеги, никто не поможет?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "VPN hub to spoke и маршрутизация"	+/–
	Сообщение от vigogne (ok) on 17-Сен-14, 15:11
	>[оверквотинг удален] >>>>  permit ip any any >>>> ip access-list extended Shops >>>>  permit ip 10.1.0.0 0.0.0.255 172.17.0.0 0.0.255.255 >>> EIGRP на D-Link? Уверены? >> Нет, EIGRP не для D-Link, кусок конфига показан с целью обозначить, что >> есть ещё VTI с маршрутизацией сетей по EIGRP. >> Я не знаю как мне проложить маршрут к сетям, которые за туннелями >> на криптомапах. Разве это вместе не может жить? Тут вообще ключевой >> момент использование (или не использование) reverse route > UP. Коллеги, никто не поможет? А просто статические маршруты уже не помогают? ip route 10.1.0.0 255.255.0.0 Tunnel1 ip route 10.2.0.0 255.255.0.0 Tunnel2 Ну и, соответственно, удаленный роутер также должен знать обратные маршруты через туннели.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема