форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Объединение филиалов"		+/–
Сообщение от dept (ok) on 11-Июн-09, 08:19
Добрый день. Прошу помощи и подсказать. Требуется объединить офисы имеется следующее оборудование, компы одной сети недолжны видеть компы другой но заходить на них по имени или по IP.. Cisco 2811 – Центральный офис Cisco 1841 – офис2 Cisco 877 – Участок1 Cisco 877 – Участок2 Cisco 877 – Участок3 Сейчас канал поднят только с одним участком. Конфиг 2811 ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname CO-VPN ! boot-start-marker boot-end-marker ! ! no aaa new-model ! crypto pki trustpoint TP-self-signed-3508797125 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-3508797125 revocation-check none rsakeypair TP-self-signed-3508797125 ! ! crypto pki certificate chain TP-self-signed-3508797125 certificate self-signed 01           quit dot11 syslog ! ! ip cef ! ! ip domain name tr.local ! multilink bundle-name authenticated ! ! voice-card 0 no dspfarm ! ! crypto isakmp policy 100 encr aes hash md5 authentication pre-share group 2 crypto isakmp key 6 cisco address 192.168.100.6 ! ! crypto ipsec transform-set PEERS esp-aes esp-md5-hmac ! crypto map IPSEC 300 ipsec-isakmp set peer 192.168.100.6 set security-association idle-time 600 set transform-set PEERS set pfs group1 match address ACL_GRE ! archive log config   hidekeys ! ! ! ! ! ! interface Tunnel0 ip address 1.1.1.1 255.255.255.252 no ip redirects tunnel source 192.168.100.2 tunnel destination 192.168.100.6 ! interface FastEthernet0/0 no ip address duplex auto speed auto no snmp trap link-status ! interface FastEthernet0/0.14 description INTERNET_SINTERA-URAL encapsulation dot1Q 14 ip address XXX.XXX.XXX.XXX 255.255.255.240 ip nat outside ip virtual-reassembly shutdown ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1/0 switchport access vlan 100 ! interface FastEthernet0/1/1 ! interface FastEthernet0/1/2 ! interface FastEthernet0/1/3 ! interface GigabitEthernet0/0/0 description CO-LOCAL ip address 10.1.1.254 255.255.255.0 ip nat inside ip virtual-reassembly negotiation auto ! interface Vlan1 no ip address ! interface Vlan2 no ip address ! interface Vlan100 description OFFICE1_Yugorskya_VPN ip address 192.168.100.2 255.255.255.252 crypto map IPSEC ! no ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 10.1.1.1 ip route 10.1.2.0 255.255.255.0 Tunnel0 ip route 192.168.100.4 255.255.255.252 192.168.100.1 ! ! no ip http server no ip http secure-server ! ip access-list extended ACL_GRE permit gre host 1.1.1.1 host 1.1.1.2 ! ! control-plane ! line con 0 login local line aux 0 line vty 0 4 exec-timeout 0 0 login local transport input telnet ssh line vty 5 15 login local transport input ssh ! scheduler allocate 20000 1000 ! End Конфиг 877 Current configuration : 3523 bytes ! version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Office2 ! boot-start-marker boot-end-marker ! logging buffered 51200 warnings ! no aaa new-model ! crypto pki trustpoint TP-self-signed-2333995018 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-2333995018 revocation-check none rsakeypair TP-self-signed-2333995018 ! ! crypto pki certificate chain TP-self-signed-2333995018 certificate self-signed 01          quit dot11 syslog ip cef ! ! no ip domain lookup ip domain name ar.local ! multilink bundle-name authenticated ! ! crypto isakmp policy 100 encr aes hash md5 authentication pre-share group 2   crypto isakmp key 6 cisco address 192.168.100.2 ! ! crypto ipsec transform-set PEERS esp-aes esp-md5-hmac ! crypto map IPSEC 300 ipsec-isakmp set peer 192.168.100.2 set security-association idle-time 600 set transform-set PEERS set pfs group1 match address ACL_GRE ! archive log config   hidekeys ! ! ! ! ! interface Tunnel0 ip address 1.1.1.2 255.255.255.252 tunnel source 192.168.100.6 tunnel destination 192.168.100.2 ! interface ATM0 no ip address shutdown no atm ilmi-keepalive dsl operating-mode auto ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 switchport access vlan 2 ! interface Vlan1 description OFFICE2_Local ip address 10.1.2.254 255.255.255.0 ! interface Vlan2 description OFFICE2_Bezverhova_VPN ip address 192.168.100.6 255.255.255.252 crypto map IPSEC ! ip forward-protocol nd ip route 10.1.1.0 255.255.255.0 Tunnel0 ip route 192.168.100.0 255.255.255.252 192.168.100.5 ! ! no ip http server no ip http secure-server ! ip access-list extended ACL_GRE permit gre host 1.1.1.2 host 1.1.1.1 ! access-list 23 permit 10.10.10.0 0.0.0.7 no cdp run ! !         control-plane ! ! line con 0 login local no modem enable line aux 0 line vty 0 4 privilege level 15 login local transport input telnet ssh ! scheduler max-task-time 5000 end
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Объединение филиалов"		+/–
Сообщение от sm00th1980 (ok) on 11-Июн-09, 14:46
Здравствуйте! Будете задавать в подобном виде вопросы - всё что услышите в ответ - будет - готовы помочь за деньги.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Объединение филиалов"		+/–
	Сообщение от dept (ok) on 11-Июн-09, 14:53
	>Здравствуйте! > >Будете задавать в подобном виде вопросы - всё что услышите в ответ >- будет - готовы помочь за деньги. Понимаю на что вы намекаете... Да VPN сам думаю построю мозгов думаю хватит проблема в том что необходимо оптимизировать конфиги и сети и вопрос в правильности выбора технологий..
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Объединение филиалов"		+/–
Сообщение от valery12 on 11-Июн-09, 15:25
>Добрый день. >Прошу помощи и подсказать. >Требуется объединить офисы имеется следующее оборудование, компы одной сети недолжны видеть компы >другой но заходить на них по имени или по IP.. >Cisco 2811 – Центральный офис >Cisco 1841 – офис2 >Cisco 877 – Участок1 >Cisco 877 – Участок2 >Cisco 877 – Участок3 >Сейчас канал поднят только с одним участком. А почему не хотите использовать DMVPN? Cisco 2811 - Hub, остальные Spoke - вместо 24 туннелей, обойдетесь 5ю
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Объединение филиалов"		+/–
	Сообщение от dept (ok) on 11-Июн-09, 15:28
	>[оверквотинг удален] >>Cisco 2811 – Центральный офис >>Cisco 1841 – офис2 >>Cisco 877 – Участок1 >>Cisco 877 – Участок2 >>Cisco 877 – Участок3 >>Сейчас канал поднят только с одним участком. > >А почему не хотите использовать DMVPN? >Cisco 2811 - Hub, остальные Spoke - вместо 24 туннелей, обойдетесь 5ю > Если честно то несовсем понимаю как правильно настроить DMVPN в моём случае. Я много искал информации .. Ту которую нашол несовсем мне подходит... хотя скорее всего я неправильно что то настраивал.. Если несложно поделитесь опытом и подскажите как поднять DMVPN
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Объединение филиалов"		+/–
	Сообщение от valery12 on 11-Июн-09, 15:36
	>[оверквотинг удален] >> >>А почему не хотите использовать DMVPN? >>Cisco 2811 - Hub, остальные Spoke - вместо 24 туннелей, обойдетесь 5ю >> > >Если честно то несовсем понимаю как правильно настроить DMVPN в моём случае. > >Я много искал информации .. Ту которую нашол несовсем мне подходит... хотя >скорее всего я неправильно что то настраивал.. >Если несложно поделитесь опытом и подскажите как поднять DMVPN на сайте cisco масса примеров что то типа hostname Hub ! crypto isakmp policy 1 authentication pre−share crypto isakmp key cisco47 address 0.0.0.0 ! crypto ipsec transform−set trans2 esp−des esp−md5−hmac mode transport ! crypto ipsec profile vpnprof set transform−set trans2 ! interface Tunnel0 bandwidth 1000 ip address 10.0.0.1 255.255.255.0 ip mtu 1400 ip nhrp authentication test ip nhrp map multicast dynamic ip nhrp network−id 100000 ip nhrp holdtime 600 no ip split−horizon eigrp 1 delay 1000 tunnel source Ethernet0 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile vpnprof ! hostname Spoke1 ! crypto isakmp policy 1 authentication pre−share crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 ! crypto ipsec transform−set trans2 esp−des esp−md5−hmac mode transport ! crypto ipsec profile vpnprof set transform−set trans2 ! interface Tunnel0 bandwidth 1000 ip address 10.0.0.2 255.255.255.0 ip mtu 1400 ip nhrp authentication test ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp network−id 100000 ip nhrp holdtime 300 ip nhrp nhs 10.0.0.1 delay 1000 tunnel source Ethernet0 tunnel destination 172.17.0.1 tunnel key 100000 tunnel protection ipsec profile vpnprof ! hostname Spoke2 ! crypto isakmp policy 1 authentication pre−share crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 ! crypto ipsec transform−set trans2 esp−des esp−md5−hmac mode transport ! crypto ipsec profile vpnprof set transform−set trans2 ! interface Tunnel0 bandwidth 1000 ip address 10.0.0.3 255.255.255.0 ip mtu 1400 ip nhrp authentication test ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp network−id 100000 ip nhrp holdtime 300 ip nhrp nhs 10.0.0.1 delay 1000 tunnel source Ethernet0 tunnel destination 172.17.0.1 tunnel key 100000 tunnel protection ipsec profile vpnprof !
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Объединение филиалов"		+/–
	Сообщение от dept (ok) on 11-Июн-09, 15:46
	>[оверквотинг удален] >ip nhrp map 10.0.0.1 172.17.0.1 >ip nhrp network−id 100000 >ip nhrp holdtime 300 >ip nhrp nhs 10.0.0.1 >delay 1000 >tunnel source Ethernet0 >tunnel destination 172.17.0.1 >tunnel key 100000 >tunnel protection ipsec profile vpnprof >! Вот тут и пошли вопросы... Мне провайдер строит IPVPN и даёт мне 30 подсеть на каждую точку.. В таком случае и непонимаю как строить HUB.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Объединение филиалов"		+/–
	Сообщение от valery12 on 15-Июн-09, 09:15
	>[оверквотинг удален] >>delay 1000 >>tunnel source Ethernet0 >>tunnel destination 172.17.0.1 >>tunnel key 100000 >>tunnel protection ipsec profile vpnprof >>! > >Вот тут и пошли вопросы... >Мне провайдер строит IPVPN и даёт мне 30 подсеть на каждую точку.. >В таком случае и непонимаю как строить HUB. Об этом речи не было, я говорил как связать филиалы через открытый интернет, тогда вот мой пример (правда я использую OSPF) - провайдер дает подсети на каждый туннель 192.168.0.0, 192.168.0.4, 192.168.0.8 и т.д. на HUB адрес 192.168.0.2 шлюз 192.168.0.1 добавить маршрут ip route 192.168.0.0 255.255.255.0 192.168.0.1 на SPOKE адрес 192.168.0.6 шлюз 192.168.0.5 добавить маршрут ip route 192.168.0.0 255.255.255.0 192.168.0.5 туннель на HUB interface Tunnel20 ip address 10.0.0.1 255.255.255.0 no ip redirects ip flow ingress ip flow egress ip nhrp authentication test ip nhrp map multicast dynamic ip nhrp network-id 100000 ip nhrp holdtime 360 no ip route-cache cef ip ospf network broadcast ip ospf priority 255 ip ospf mtu-ignore delay 1000 qos pre-classify tunnel source GigabitEthernet0/0.110 tunnel mode gre multipoint tunnel key 100000 туннель на SPOKE interface Tunnel20 ip address 10.0.0.2 255.255.255.0 no ip redirects ip flow ingress ip flow egress ip nhrp authentication test ip nhrp map multicast dynamic ip nhrp map 10.0.0.1 192.168.0.2 ip nhrp map multicast 192.168.0.2 ip nhrp network-id 100000 ip nhrp holdtime 600 ip nhrp nhs 10.0.0.1 ip ospf network broadcast ip ospf priority 0 ip ospf mtu-ignore delay 1000 qos pre-classify tunnel source FastEthernet0/0 tunnel mode gre multipoint tunnel key 100000 и кстати в этом случае, если нет параноидальных настроений, трафик можно не шифровать, провайдер его и так шифрует
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]