 VPN hub to spoke и маршрутизация,  DKu, 26-Авг-14, 13:24 [смотреть все]Коллеги, помогите, пожалуйста новичку.
Задача связать с ЦО розничные точки используя Hub and Spoke.
На той стороне D-Link DSR-150. Туннель ставиться без проблем, но отчего-то не кладётся маршрут.Конфиг: crypto keyring Branch1Key
pre-shared-key address x.x.x.x key Megapass
crypto keyring Branch2Key
pre-shared-key address z.z.z.z key Megapass
crypto keyring RetailKey
pre-shared-key address 0.0.0.0 0.0.0.0 key Superpass
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
lifetime 28800
crypto isakmp profile Branch1
keyring Branch1Key
match identity address x.x.x.x 255.255.255.255
crypto isakmp profile Branch2
keyring Branch2Key
match identity address z.z.z.z 255.255.255.255
crypto isakmp profile Retail
keyring RetailKey
match identity address 0.0.0.0
!
!
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
mode transport
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
!
crypto ipsec profile HQ-Br1
set transform-set 3DES-SHA
set isakmp-profile Branch1
!
crypto ipsec profile HQ-Br2
set transform-set 3DES-SHA
set isakmp-profile Branch2
!
!
crypto dynamic-map Shops 20
set transform-set 3DES-MD5
set pfs group2
set isakmp-profile Retail
match address Shops
reverse-route
!
!
crypto map Shops 20 ipsec-isakmp dynamic Shops
!
!
!
!
!
!
interface Tunnel0
description ===== VPN to Br1 =====
ip address 192.168.100.1 255.255.255.252
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source y.y.y.y
tunnel mode ipsec ipv4
tunnel destination x.x.x.x
tunnel protection ipsec profile HQ-Br1
!
interface Tunnel1
description ===== VPN to Br2 =====
ip address 192.168.101.1 255.255.255.252
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source y.y.y.y
tunnel mode ipsec ipv4
tunnel destination z.z.z.z
tunnel protection ipsec profile HQ-Br2
!
interface GigabitEthernet0/0
description ===== ISP =====
ip address 1.1.1.1 255.255.255.252
duplex auto
speed auto
!
interface GigabitEthernet0/1
description ===== Internal =====
ip address 10.1.0.1 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/2
description ===== White Network =====
ip address y.y.y.y 255.255.255.224
ip access-group Global_External in
crypto map Shops
duplex auto
speed auto
!
interface Vlan1
no ip address
!
!
router eigrp 2
network 10.1.0.0
network 192.168.100.0
network 192.168.101.0
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 1.1.1.1
!
ip access-list extended Global_External
permit ip any any
ip access-list extended Shops
permit ip 10.1.0.0 0.0.0.255 172.17.0.0 0.0.255.255
|
- VPN hub to spoke и маршрутизация, Andrey, 16:44 , 26-Авг-14 (1)
>[оверквотинг удален]
> !
> no ip http server
> no ip http secure-server
> !
> ip route 0.0.0.0 0.0.0.0 1.1.1.1
> !
> ip access-list extended Global_External
> permit ip any any
> ip access-list extended Shops
> permit ip 10.1.0.0 0.0.0.255 172.17.0.0 0.0.255.255 EIGRP на D-Link? Уверены?
- VPN hub to spoke и маршрутизация, DKu, 18:27 , 26-Авг-14 (2)
>[оверквотинг удален]
>> no ip http server
>> no ip http secure-server
>> !
>> ip route 0.0.0.0 0.0.0.0 1.1.1.1
>> !
>> ip access-list extended Global_External
>> permit ip any any
>> ip access-list extended Shops
>> permit ip 10.1.0.0 0.0.0.255 172.17.0.0 0.0.255.255
> EIGRP на D-Link? Уверены?Нет, EIGRP не для D-Link, кусок конфига показан с целью обозначить, что есть ещё VTI с маршрутизацией сетей по EIGRP.
Я не знаю как мне проложить маршрут к сетям, которые за туннелями на криптомапах. Разве это вместе не может жить? Тут вообще ключевой момент использование (или не использование) reverse route
- VPN hub to spoke и маршрутизация, DKu, 13:10 , 17-Сен-14 (3)
>[оверквотинг удален]
>>> ip access-list extended Global_External
>>> permit ip any any
>>> ip access-list extended Shops
>>> permit ip 10.1.0.0 0.0.0.255 172.17.0.0 0.0.255.255
>> EIGRP на D-Link? Уверены?
> Нет, EIGRP не для D-Link, кусок конфига показан с целью обозначить, что
> есть ещё VTI с маршрутизацией сетей по EIGRP.
> Я не знаю как мне проложить маршрут к сетям, которые за туннелями
> на криптомапах. Разве это вместе не может жить? Тут вообще ключевой
> момент использование (или не использование) reverse route UP. Коллеги, никто не поможет?
- VPN hub to spoke и маршрутизация, vigogne, 15:11 , 17-Сен-14 (4)
>[оверквотинг удален]
>>>> permit ip any any
>>>> ip access-list extended Shops
>>>> permit ip 10.1.0.0 0.0.0.255 172.17.0.0 0.0.255.255
>>> EIGRP на D-Link? Уверены?
>> Нет, EIGRP не для D-Link, кусок конфига показан с целью обозначить, что
>> есть ещё VTI с маршрутизацией сетей по EIGRP.
>> Я не знаю как мне проложить маршрут к сетям, которые за туннелями
>> на криптомапах. Разве это вместе не может жить? Тут вообще ключевой
>> момент использование (или не использование) reverse route
> UP. Коллеги, никто не поможет?А просто статические маршруты уже не помогают?
ip route 10.1.0.0 255.255.0.0 Tunnel1
ip route 10.2.0.0 255.255.0.0 Tunnel2 Ну и, соответственно, удаленный роутер также должен знать обратные маршруты через туннели.
|
Версия для распечатки
