The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Объединение филиалов, !*! dept, 11-Июн-09, 08:19  [смотреть все]
Добрый день.
Прошу помощи и подсказать.
Требуется объединить офисы имеется следующее оборудование, компы одной сети недолжны видеть компы другой но заходить на них по имени или по IP..
Cisco 2811 – Центральный офис
Cisco 1841 – офис2
Cisco 877 – Участок1
Cisco 877 – Участок2
Cisco 877 – Участок3
Сейчас канал поднят только с одним участком.
Конфиг 2811
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname CO-VPN
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-3508797125
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3508797125
revocation-check none
rsakeypair TP-self-signed-3508797125
!
!
crypto pki certificate chain TP-self-signed-3508797125
certificate self-signed 01
          quit
dot11 syslog
!
!
ip cef
!
!
ip domain name tr.local
!
multilink bundle-name authenticated
!
!
voice-card 0
no dspfarm
!
!
crypto isakmp policy 100
encr aes
hash md5
authentication pre-share
group 2
crypto isakmp key 6 cisco address 192.168.100.6
!
!
crypto ipsec transform-set PEERS esp-aes esp-md5-hmac
!
crypto map IPSEC 300 ipsec-isakmp
set peer 192.168.100.6
set security-association idle-time 600
set transform-set PEERS
set pfs group1
match address ACL_GRE
!
archive
log config
  hidekeys
!
!
!
!
!
!
interface Tunnel0
ip address 1.1.1.1 255.255.255.252
no ip redirects
tunnel source 192.168.100.2
tunnel destination 192.168.100.6
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
no snmp trap link-status
!
interface FastEthernet0/0.14
description INTERNET_SINTERA-URAL
encapsulation dot1Q 14
ip address XXX.XXX.XXX.XXX 255.255.255.240
ip nat outside
ip virtual-reassembly
shutdown
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/1/0
switchport access vlan 100
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!
interface GigabitEthernet0/0/0
description CO-LOCAL
ip address 10.1.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
negotiation auto
!
interface Vlan1
no ip address
!
interface Vlan2
no ip address
!
interface Vlan100
description OFFICE1_Yugorskya_VPN
ip address 192.168.100.2 255.255.255.252
crypto map IPSEC
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.1.1.1
ip route 10.1.2.0 255.255.255.0 Tunnel0
ip route 192.168.100.4 255.255.255.252 192.168.100.1
!
!
no ip http server
no ip http secure-server
!
ip access-list extended ACL_GRE
permit gre host 1.1.1.1 host 1.1.1.2
!
!
control-plane
!
line con 0
login local
line aux 0
line vty 0 4
exec-timeout 0 0
login local
transport input telnet ssh
line vty 5 15
login local
transport input ssh
!
scheduler allocate 20000 1000
!
End

Конфиг 877
Current configuration : 3523 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Office2
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-2333995018
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2333995018
revocation-check none
rsakeypair TP-self-signed-2333995018
!
!
crypto pki certificate chain TP-self-signed-2333995018
certificate self-signed 01
         quit
dot11 syslog
ip cef
!
!
no ip domain lookup
ip domain name ar.local
!
multilink bundle-name authenticated
!
!
crypto isakmp policy 100
encr aes
hash md5
authentication pre-share
group 2  
crypto isakmp key 6 cisco address 192.168.100.2
!
!
crypto ipsec transform-set PEERS esp-aes esp-md5-hmac
!
crypto map IPSEC 300 ipsec-isakmp
set peer 192.168.100.2
set security-association idle-time 600
set transform-set PEERS
set pfs group1
match address ACL_GRE
!
archive
log config
  hidekeys
!
!
!
!
!
interface Tunnel0
ip address 1.1.1.2 255.255.255.252
tunnel source 192.168.100.6
tunnel destination 192.168.100.2
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
switchport access vlan 2
!
interface Vlan1
description OFFICE2_Local
ip address 10.1.2.254 255.255.255.0
!
interface Vlan2
description OFFICE2_Bezverhova_VPN
ip address 192.168.100.6 255.255.255.252
crypto map IPSEC
!
ip forward-protocol nd
ip route 10.1.1.0 255.255.255.0 Tunnel0
ip route 192.168.100.0 255.255.255.252 192.168.100.5
!
!
no ip http server
no ip http secure-server
!
ip access-list extended ACL_GRE
permit gre host 1.1.1.2 host 1.1.1.1
!
access-list 23 permit 10.10.10.0 0.0.0.7
no cdp run
!
!        
control-plane
!
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

Ответить | Сообщить модератору
  • Объединение филиалов, !*! sm00th1980, 14:46 , 11-Июн-09 (1)
    Здравствуйте!

    Будете задавать в подобном виде вопросы - всё что услышите в ответ - будет - готовы помочь за деньги.

    Ответить | Сообщить модератору
    • Объединение филиалов, !*! dept, 14:53 , 11-Июн-09 (2)
      >Здравствуйте!
      >
      >Будете задавать в подобном виде вопросы - всё что услышите в ответ
      >- будет - готовы помочь за деньги.

      Понимаю на что вы намекаете...
      Да VPN сам думаю построю мозгов думаю хватит проблема в том что необходимо оптимизировать конфиги и сети и вопрос в правильности выбора технологий..

      Ответить | Сообщить модератору
  • Объединение филиалов, !*! valery12, 15:25 , 11-Июн-09 (3)
    >Добрый день.
    >Прошу помощи и подсказать.
    >Требуется объединить офисы имеется следующее оборудование, компы одной сети недолжны видеть компы
    >другой но заходить на них по имени или по IP..
    >Cisco 2811 – Центральный офис
    >Cisco 1841 – офис2
    >Cisco 877 – Участок1
    >Cisco 877 – Участок2
    >Cisco 877 – Участок3
    >Сейчас канал поднят только с одним участком.

    А почему не хотите использовать DMVPN?
    Cisco 2811 - Hub, остальные Spoke - вместо 24 туннелей, обойдетесь 5ю

    Ответить | Сообщить модератору
    • Объединение филиалов, !*! dept, 15:28 , 11-Июн-09 (4)
      >[оверквотинг удален]
      >>Cisco 2811 – Центральный офис
      >>Cisco 1841 – офис2
      >>Cisco 877 – Участок1
      >>Cisco 877 – Участок2
      >>Cisco 877 – Участок3
      >>Сейчас канал поднят только с одним участком.
      >
      >А почему не хотите использовать DMVPN?
      >Cisco 2811 - Hub, остальные Spoke - вместо 24 туннелей, обойдетесь 5ю
      >

      Если честно то несовсем понимаю как правильно настроить DMVPN в моём случае.
      Я много искал информации .. Ту которую нашол несовсем мне подходит... хотя скорее всего я неправильно что то настраивал..
      Если несложно поделитесь опытом и подскажите как поднять DMVPN

      Ответить | Сообщить модератору
      • Объединение филиалов, !*! valery12, 15:36 , 11-Июн-09 (5)
        >[оверквотинг удален]
        >>
        >>А почему не хотите использовать DMVPN?
        >>Cisco 2811 - Hub, остальные Spoke - вместо 24 туннелей, обойдетесь 5ю
        >>
        >
        >Если честно то несовсем понимаю как правильно настроить DMVPN в моём случае.
        >
        >Я много искал информации .. Ту которую нашол несовсем мне подходит... хотя
        >скорее всего я неправильно что то настраивал..
        >Если несложно поделитесь опытом и подскажите как поднять DMVPN

        на сайте cisco масса примеров
        что то типа

        hostname Hub
        !
        crypto isakmp policy 1
        authentication pre−share
        crypto isakmp key cisco47 address 0.0.0.0
        !
        crypto ipsec transform−set trans2 esp−des esp−md5−hmac
        mode transport
        !
        crypto ipsec profile vpnprof
        set transform−set trans2
        !
        interface Tunnel0
        bandwidth 1000
        ip address 10.0.0.1 255.255.255.0
        ip mtu 1400
        ip nhrp authentication test
        ip nhrp map multicast dynamic
        ip nhrp network−id 100000
        ip nhrp holdtime 600
        no ip split−horizon eigrp 1
        delay 1000
        tunnel source Ethernet0
        tunnel mode gre multipoint
        tunnel key 100000
        tunnel protection ipsec profile vpnprof
        !

        hostname Spoke1
        !
        crypto isakmp policy 1
        authentication pre−share
        crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0
        !
        crypto ipsec transform−set trans2 esp−des esp−md5−hmac
        mode transport
        !
        crypto ipsec profile vpnprof
        set transform−set trans2
        !
        interface Tunnel0
        bandwidth 1000
        ip address 10.0.0.2 255.255.255.0
        ip mtu 1400
        ip nhrp authentication test
        ip nhrp map 10.0.0.1 172.17.0.1
        ip nhrp network−id 100000
        ip nhrp holdtime 300
        ip nhrp nhs 10.0.0.1
        delay 1000
        tunnel source Ethernet0
        tunnel destination 172.17.0.1
        tunnel key 100000
        tunnel protection ipsec profile vpnprof
        !

        hostname Spoke2
        !
        crypto isakmp policy 1
        authentication pre−share
        crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0
        !
        crypto ipsec transform−set trans2 esp−des esp−md5−hmac
        mode transport
        !
        crypto ipsec profile vpnprof
        set transform−set trans2
        !
        interface Tunnel0
        bandwidth 1000
        ip address 10.0.0.3 255.255.255.0
        ip mtu 1400
        ip nhrp authentication test
        ip nhrp map 10.0.0.1 172.17.0.1
        ip nhrp network−id 100000
        ip nhrp holdtime 300
        ip nhrp nhs 10.0.0.1
        delay 1000
        tunnel source Ethernet0
        tunnel destination 172.17.0.1
        tunnel key 100000
        tunnel protection ipsec profile vpnprof
        !

        Ответить | Сообщить модератору
        • Объединение филиалов, !*! dept, 15:46 , 11-Июн-09 (6)
          >[оверквотинг удален]
          >ip nhrp map 10.0.0.1 172.17.0.1
          >ip nhrp network−id 100000
          >ip nhrp holdtime 300
          >ip nhrp nhs 10.0.0.1
          >delay 1000
          >tunnel source Ethernet0
          >tunnel destination 172.17.0.1
          >tunnel key 100000
          >tunnel protection ipsec profile vpnprof
          >!

          Вот тут и пошли вопросы...
          Мне провайдер строит IPVPN и даёт мне 30 подсеть на каждую точку.. В таком случае и непонимаю как строить HUB.

          Ответить | Сообщить модератору
          • Объединение филиалов, !*! valery12, 09:15 , 15-Июн-09 (7)
            >[оверквотинг удален]
            >>delay 1000
            >>tunnel source Ethernet0
            >>tunnel destination 172.17.0.1
            >>tunnel key 100000
            >>tunnel protection ipsec profile vpnprof
            >>!
            >
            >Вот тут и пошли вопросы...
            >Мне провайдер строит IPVPN и даёт мне 30 подсеть на каждую точку..
            >В таком случае и непонимаю как строить HUB.

            Об этом речи не было, я говорил как связать филиалы через открытый интернет,
            тогда вот мой пример (правда я использую OSPF) - провайдер дает подсети на каждый туннель 192.168.0.0, 192.168.0.4, 192.168.0.8 и т.д.
            на HUB адрес 192.168.0.2 шлюз 192.168.0.1
            добавить маршрут ip route 192.168.0.0 255.255.255.0 192.168.0.1
            на SPOKE адрес 192.168.0.6 шлюз 192.168.0.5
            добавить маршрут ip route 192.168.0.0 255.255.255.0 192.168.0.5

            туннель на HUB
            interface Tunnel20
            ip address 10.0.0.1 255.255.255.0
            no ip redirects
            ip flow ingress
            ip flow egress
            ip nhrp authentication test
            ip nhrp map multicast dynamic
            ip nhrp network-id 100000
            ip nhrp holdtime 360
            no ip route-cache cef
            ip ospf network broadcast
            ip ospf priority 255
            ip ospf mtu-ignore
            delay 1000
            qos pre-classify
            tunnel source GigabitEthernet0/0.110
            tunnel mode gre multipoint
            tunnel key 100000

            туннель на SPOKE
            interface Tunnel20
            ip address 10.0.0.2 255.255.255.0
            no ip redirects
            ip flow ingress
            ip flow egress
            ip nhrp authentication test
            ip nhrp map multicast dynamic
            ip nhrp map 10.0.0.1 192.168.0.2
            ip nhrp map multicast 192.168.0.2
            ip nhrp network-id 100000
            ip nhrp holdtime 600
            ip nhrp nhs 10.0.0.1
            ip ospf network broadcast
            ip ospf priority 0
            ip ospf mtu-ignore
            delay 1000
            qos pre-classify
            tunnel source FastEthernet0/0
            tunnel mode gre multipoint
            tunnel key 100000

            и кстати в этом случае, если нет параноидальных настроений, трафик можно не шифровать, провайдер его и так шифрует

            Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру