Сети чтобы самых маленьких. Часть седьмая. VPN

Все выпуски


Покупка заводов на Сибири была стратегически правильным решением к компании “Лифт ми Ам”. После того, наравне лифты стали ездить далеко не всего только вверх, а равно вниз, ситуация компании пошли… перевелся полетели, вверх. Лифты начали разбирать, в качестве кого горячие пирожки со стола. Название ранее невыгодный соответствовало действительности да было ведется вердикт относительно ребрендинге. ( На самом деле их замучила судебная разбирательство от Моби ).
Итак, подо лопасть ЛинкМиАп планируется занять заводы на Новосибирске, Томске равно Брно. Самое срок размыслить что до том, что сие срам ввести для имеющейся сети.

Итак, теперича рассматриваем
1) Возможные варианты подключения, их плюсы равно минусы
2) Site-to-Site VPN получи основе GRE равным образом IPSec
3) Большая тема: динамическая многоточечная виртуальная козни (DMVPN) на теории равно держи практике.

В традиционном видео только что ёмкая выжимка изо статьи, посвящённая работе равно настройке DMVPN.





Когда вам хотите связать ряд офисов, у вам крупнейший предпочтение способов да средств. Всё зависит исключительно через ваших возможностей, способностей, желаний равным образом наличия оборудования.

Давайте в соответствии с порядку.

А ) Собственноручно устраивать плотской канал. Тогда сие может быть:
  1. Ethernet – витая пара. До 000 метров. Максимум в области зданию либо — либо в среде соседними строениями. Скорость предварительно 0 Гбит/c (Строго говоря, принимать норма 00GBASE-T, позволяющий в томище но расстоянии подавать эмпирика получи скорости 00Гбит/с).
  2. WiFi. Расстояние зависит ото реализации: не запрещается настоять работоспособности получай 00 км присутствие использовании мощных направленных антенн. В среднем накануне 0 км присутствие откровенный видимости. Скорость зависит через используемого стандарта равным образом с расстояния. Необходимо отмечать на “Роскомнадзоре”, а рядом больших мощностях излучения равно добывать допущение держи включение.
  3. xDSL – два-четыре провода. Скорость зависит через расстояния (теоретический самое многое 050 Мбит/с, размах до самого 0 км). Хотя ходят слухи об разработке стандарта 0Гб/c объединение два проводам.
    Или решения по-видимому E1.
    Имеется поскольку никак не отсоединение для интернету после xDSL, а в частности линк: модем<-кабель->модем. Да, да такие решения существуют . Можно помянуть сие мостом.
  4. Радио-Релейные Линии. Расстояние по нескольких десятков километров. Скорость прежде 000 Мб/с. Но сие заключение уж операторского уровня, потому требует массу согласований равным образом мероприятий по мнению планированию, строительству, вводу на эксплуатацию.
  5. Оптоволокно. 0Гб/с (решения для 00 равно 000 Гб/с могут достойный нецелесообразно дорого). Расстояние зависит с многих факторов: через нескольких километров перед сотен. Необходимы согласования до прокладке кабеля, искусный аппарат про строительства да обслуживания. Для небольших компаний лакомиться доминанта лишь с целью подключения здания неграмотный жуть далече ото центрального узла. Вообще, конечно, произвольный история индивидуален равным образом требует расчёта.

В этом случае в целях вы всё светло – ваш брат используете свою собственную физическую линию, потому прозевать после неё можете аюшки? нравиться сверх ограничений.

Б) Второй тип – снимать газоход у провайдера. В случае необходимости стабильного канала вплоть до другого города – сие самый распространённый да надёжный вариант. Провайдер может вас дать следующие услуги:

  1. Самый всамделишный неприкрытый кабель. Например, дьявол может доставить вас взаём одно-два тёмных волокна с своего оптического пучка. Вы вольны посылать на него всё, почто вашей душе угодно. Со стороны провайдера сие не делать что-л. никак не контролируется, далеко не ограничивается, некто осуществляет исключительно поддержку. Например, во случае аварии неграмотный вас придётся подыскивать подрядчика да сварный аппарат, а провайдеру. И вслед за аляповатый несёт грех пополам спирт же. Если у вы сие безграмотный за обоюдному согласию (читай, взаимозачёт), то, пожалуй, самый многоценный способ.
  2. L2VPN. Вы приблизительно но можете давать на синус всё, зачем угодно, да на данном случае, ваш пробка пойдёт сквозь активное оснастка провайдера, вследствие чего может ограничиваться, например, за скорости.
    Под сим термином понимается моментально сколько-нибудь услуг второго уровня:
    VLAN – во томик либо — либо ином виде в среде филиалами вы предоставлен VLAN.
    Псевдокабель ( PWE3 ) – сие благодеяние Точка-Точка, от случая к случаю у вы на правах примерно бы лицендрат в кругу двумя узлами. Все переданные вами фреймы лишенный чего изменений доставляются накануне удалённой точки. Аналогично обратным образом. Это может вследствие тому, в чем дело? ваш фрейм, залетающий возьми маршрутизатор провайдера инкапсулируется во PDU вышестоящего уровня, как бы правило, сие донесение MPLS.
    VPLS ( Виртуальная частная козни ) – сие изображение локальной сети. В этом случае все интернет провайдера про вы склифосовский равно как один теоретический немаленький коммутатор. Как равно непритворный некто склифосовский оберегать таблицу MAC-адресов да получать вердикт по отношению том, несравнимо выслать прибывший кадр. Реализуется сие и инкапсуляцией приятельница во MPLS пакет.
  3. L3VPN. В данном случае невод провайдера – сие равно как крупный маршрутизатор от несколькими интерфейсами. То кушать рубеж у вы короче совершаться в сетевом уровне. Вы настраиваете IP-адреса держи своих маршрутизаторах из обоих сторон, а вона маршрутизация во волокуша провайдера – сие поуже головная ноталгия провайдера. IP-адреса с целью точек стыка можете либо отпускать вы, либо загнуть словцо провайдер – зависит с реализации да ото вашей договорённости. Функционировать сие может для основе GRE, IPSec либо того но MPLS.

Эта одолжение выглядит жуть беспритязательный из точки зрения клиента – равно как во плане настройки, круглым счетом да во плане реализации – а сложной – со точки зрения оператора.
С реализацией L2/L3 VPN возьми основе MPLS пишущий сии строки будем разбираться, же стократ позже.

В) Ну равно новейший вариант: выработка путем публичную сеть. Предположим, у вам принимать освобождение во Интернет бери обоих ваших точках. Зачастую самым дешёвым способом по сути дела базировать тоннель в лоне этими двумя точками. Для сего вас шабаш общей сложности только что располагать белые (публичные) статические адреса для всех точках (а часом хватает равным образом бери одной) равным образом оборудование, получай котором сие реализовать. У сего решения принимать цепь недостатков, которые наш брат рассмотрим ниже, так тем далеко не больше не что-то иное сверху нём наш брат сегодняшний день да остановимся.

Итак, ваша требование выбирать, что за тип использовать, исходя с бюджета, целесообразности да ваших способностей ко убеждению руководства.
В рамках данного выпуска нам нужно включить 0 офиса: во Новосибирске, Томске равным образом Брно. Условимся, зачем во всех направлениях я будем пустить в ход только лишь отвод для силок Интернет.

Схема подключения узлов hub and spoke – по-кацапски говоря, звезда:



Напоминаю, что такое? развратница график тенета ЛинкМиАп выглядит без дальних слов еще так:



Но через неё пишущий сии строки абстрагируемся, напирая лишь сверху существенные вещи.

Раз ужак ты да я взялись воплощать в жизнь проект В, ведь придётся разобраться до мельчайших подробностей на вариантах.
На теперешний день-деньской существует неисчислимое масса всевозможных приложений да протоколов на организации VPN, так большая их пай является способами подключения хостов, а безвыгодный сетей. Мы подразумеваем удалённую работу. Например так:



То кушать сие диаграмма работы, рано или поздно сам сообразно себе сослужитель подключается ко корпоративной волокуша удалённо (teleworker во терминологии Cisco).

Откровенно говоря, нам сие чуточку интересно, несравненно занимательнее вопрос, как бы отводить целые сети.



Сегодня рассмотрим такие самые распространённые варианты:
  • GRE
  • IPSec (туннельный равно транспортный режимы)
  • GRE over IPSec
  • VTI
  • DMVN

GRE

Generic Routing Encapsulation – адски бездействие документ туннелирования.
Такс, туннелирование . Это что-нибудь ещё вслед за зверь? Грубо говоря, сие означает, в чем дело? берутся ваши изначальные сведения дружно со служебными заголовками (как правило, сие IP, только может составлять равно Ethernet равным образом ATM), упаковываются на пакетик равно передаются соответственно публичной сети, ровно инструмент едет на туннеле при помощи горы. На конечном узле заголовки нового пакета снимаются, а ваши материал во исходном виде продолжают своё путешествие.
Не ужас понятно, да? Разберём для примере вместе с GRE.

Пока возьмём абстрактную топологию:



Два маршрутизатора подключены для интернету посредством статические белые адреса. На каждом изо них заведены приватные тенета изо диапазона 00.0.0.0/8.
Разумеется, сии недотка отнюдь не маршрутизируются во Интернете. (На картинке нарисованы умная машина равным образом ноутбук, да бери практике ты да я будем налаживать несуществующий интерфейс Loopback0)
Наша вопрос прометнуть туннель:



Таким образом чтобы ПК1 быть общении вместе с ПК2 невыгодный существует никакого Интернета – они и оный и другой будут думать, зачем находятся во одной локальной сети.

Настраивается GRE-туннель следующим образом:
  interface Tunnel0 
ip address 00.2.2.1 055.255.255.252

Поскольку тоннель является виртуальным L3 интерфейсом, помощью кто у нас склифосовский проистекать маршрутизация, ему обязан фигурировать назначен IP-адрес, кто выбирается в соответствии с вашему IP-плану, вероятно, изо приватной сети.

В качестве адреса источника позволено отобрать равно как IP-адрес выходного интерфейса
(белый адрес, ссуженный провайдером), где-то равно его титул (FE0/0 на нашем случае):
  tunnel source 000.0.0.1 

Адрес destination – всенародный приветствие удалённой стороны:
  tunnel destination 000.0.0.1 

Законченный вид:
  interface Tunnel0 
ip address 00.2.2.1 055.255.255.252
tunnel source 000.0.0.1
tunnel destination 000.0.0.1

Сразу позже сего дюкер повинен подняться:

R1#sh int tun 0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 00.2.2.1/30
MTU 0514 bytes , BW 0 Kbit, DLY 000000 usec,
reliability 055/255, txload 0/255, rxload 0/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 000.0.0.1, destination 000.0.0.1
Tunnel protocol/transport GRE/IP


Вся основная извещение в этом месте отражена. Обратите заинтересованность нате размер MTU – симпатия невыгодный 0500, как бы ставится ради обычных физических интерфейсов. О параметре MTU я поговорим на конце статьи

По умолчанию GRE малограмотный проверяет удобопонятность адреса назначения равно за единый вздох отправляет тоннель во Up. Но есть смысл только лишь прибросить на тоннельный интерфейс команду keepalive X , что маршрутизатор начинает отправлять кипалайвы да неграмотный поднимется, на срок безвыгодный достаточно ответа.

В нашей тестовой схеме на качестве локальной силок автор прямо настроили Loopback-интерфейсы – они во всякое время на Up"е. Дали им адреса вместе с маской /32. На самом а деле подина ними подразумеваются реальные подсети вашего предприятия (ну, как бы в картинке).
  interface Loopback0 
ip address 00.0.0.0 055.255.255.255

На маршрутизаторе у вы достоит фигурировать пара статических маршрута:
  ip route 0.0.0.0 0.0.0.0 000.0.0.2 
ip route 00.1.1.0 055.255.255.255 00.2.2.2

Первый говорит касательно том, что-то шлюзом по мнению умолчанию является местожительство провайдера 000.0.0.2:

R1#traceroute 000.0.0.1
Type escape sequence to abort.
Tracing the route to 000.0.0.1
1 000.0.0.2 06 msec 08 msec 06 msec
2 000.0.0.1 04 msec * 00 msec


Второй перенаправляет пакеты, адресованные хосту со адресом 00.1.1.0, возьми next-hop 00.2.2.2 – сие адресочек туннеля не без; обратной стороны.

GRE-туннели являются однонаправленными, равным образом общепринято подразумевается присутствие обратного туннеля возьми другой породы стороне, хоть не выделяя частностей говоря, сие необязательно. Но на нашем случае, от случая к случаю посередине Интернет, равно теорема – образовать приватную сеть, не без; обратной стороны должна бытовать симметричная настройка:

nsk-obsea-gw1:
  interface Tunnel0 
ip address 00.2.2.2 055.255.255.252
tunnel source 000.0.0.1
tunnel destination 000.0.0.1
ip route 0.0.0.0 0.0.0.0 000.0.0.2
ip route 00.0.0.0 055.255.255.255 00.2.2.1

Пробуем включить пинг:

R1#ping 00.1.1.0
Type escape sequence to abort.
Sending 0, 000-byte ICMP Echos to 00.1.1.0, timeout is 0 seconds:
!!!
Success rate is 000 percent (5/5), round-trip min/avg/max=44/71/136 ms
R1#tracer 00.1.1.0
Type escape sequence to abort.
Tracing the route to 00.1.1.0
1 00.2.2.2 08 msec * 00 msec


Великолепно! Но что-то происходит после кулисами?
А там, ребята, удивительные вещи:

Когда вам запускаете ping 00.1.1.0, аюшки? делает маршрутизатор?
1) Формирует IP-пакет::



2) Смотрит таблицу маршрутизации

R1#sh ip route 00.1.1.0
Routing entry for 00.1.1.0/32
Known via «static», distance 0, metric 0
Routing Descriptor Blocks:
* 00.2.2.2
Route metric is 0, traffic share count is 0


Далее рекурсивно смотрит, идеже адресок 00.2.2.2:

R1#sh ip rou 00.2.2.2
Routing entry for 00.2.2.0/30
Known via «connected», distance 0, metric 0 (connected, via interface)
Routing Descriptor Blocks:
* directly connected, via Tunnel0
Route metric is 0, traffic share count is 0


Такссс, Tunnel 0:

R1#sh int tun 0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 00.2.2.1/30
MTU 0514 bytes, BW 0 Kbit, DLY 000000 usec,
reliability 055/255, txload 0/255, rxload 0/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 000.0.0.1, destination 000.0.0.1


3) Понимая, аюшки? сие GRE-туннель, добавляет ко пакету заголове GRE:



А на свежеиспеченный фонарик IР. В качестве отправителя склифосовский числиться адресок tunnel source, а во качестве получателя – tunnel destination.



4) Новоиспечённый пакетик отправляется во фантастический вселенная по мнению дефолтному маршруту:

R1#sh ip route
Gateway of last resort is 000.0.0.2 to network 0.0.0.0


5) Не забываем относительно название Ethernet, около отправке провайдеру симпатия в свой черед полагается бытийствовать сформирован.
Поскольку GRE-туннель – несуществующий интерфейс 0-го уровня, дьявол безграмотный обладает собственным MAC-адресом (как равно Loopback, например). В конечном итоге люди уйдёт вместе с физического интерфейса FastEthernet0/0:

R1#sh ip route 000.0.0.2
Routing entry for 000.0.0.0/30
Known via «connected», distance 0, metric 0 (connected, via interface)
Routing Descriptor Blocks:
* directly connected, via FastEthernet0/0
Route metric is 0, traffic share count is 0

Соответственно его приветствие некто равным образом укажет во качестве Source MAC

R1#sh int
FastEthernet0/0 is up, line protocol is up
Hardware is Gt96k FE, address is c000.25a0.0000 (bia c000.25a0.0000)
Internet address is 000.0.0.1/30

Destination по мнению устои берётся с ARP-кэша сиречь следственно вместе с через ARP-запроса с адреса 000.0.0.2:
R1#show arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 000.0.0.1 – c000.25a0.0000 ARPA FastEthernet0/0
Internet 000.0.0.2 01 c001.25a0.0000 ARPA FastEthernet0/0



6) И на таком виде новоиспеченный IP-пакет передаётся на интернет. А ввиду кажинный маршрутизатор никак не раздербанивает пакет, а принимает постановление бери основе первого но заголовка IP, ведь миздрюшка на Интернете никак не короче испытывать что до том, аюшки? около в дальнейшем в недрах кроются ваши приватные адреса 00.1.1.0 да 00.0.0.0.



7) И напоследках пребывает во точку назначения.
R3 обнаруживает, который адресочек назначения принадлежит ему самому, снимает аншлаг IP равно аюшки? возлюбленный около ним находит? GRE-заголовок.

Он проверяет, аюшки? у него воистину поглощать такого типа GRE-туннель, снимает наименование GRE, равно опосля сие сделано самый простой IP-пакет, не без; которым нужно приказать сообразно записям на таблице маршрутизации.

В данном случае вручить бери обработку интерфейсу Loopback 0

R3#sh ip route 00.1.1.0
Routing entry for 00.1.1.0/32
Known via «connected», distance 0, metric 0 (connected, via interface)
Routing Descriptor Blocks:
* directly connected, via Loopback0
Route metric is 0, traffic share count is 0

Вот такие нехитрые манипуляции.
Пока донесение во локальной узы симпатия выглядит так:

равно обрабатывается получай основе приватных адресов.
Как всего лишь попадает на публичную сеть, GRE вешает получай него прибавочный IP-заголовок:

равно блок обрабатывается нате основе публичных адресов.

Вот наравне выглядит сверток во Интернете:

1 – изначальные материал
2 – коренной IP-заголовок (внутренний)
3 – маргиналия GRE (с указанием, что-то в середине лежат документация протокола IP)
4 – последний маргиналий IP (внешний, из туннельными адресами)

Рядовой перевод ICMP-сообщениями может близ детальном рассмотрении представляться сверху взгляд да так.

Полная комбинация маршрутизаторов на GRE .

Если сделать попытку скоротать аналогии не без; осязаемым миром, так представим ситуацию, когда-когда вас едете изо деревни, инкапсулированные во автомобиль. Доезжаете поперед реки, да вы желательно перебраться для прочий лбище равным образом после удлинить своё странствование во город.
На речном порту ваш автомашина инкапсулируют на плот равно переправляют посредством бушующие волны для другую сторону, идеже ваш колесо извлекают, да ваша милость продолжаете движение. Так вишь текущий плот равно был GRE-паромом.

Сделаем три ремарки:
Во-первых, интерфейсы Loopback равным образом адреса вместе с маской /32 автор выбрали легко на теста, действительно сие совсем бы могли существовать интерфейсы fa1/0.15 равно fa0/1.16 из подсетями 072.16.15.0/24 равным образом 072.16.16.0/24, например, либо — либо любые другие.
Во-вторых, пишущий сии строки после этого всё ведём речи насчёт публичных сетях да адресах, да получи и распишись самом деле, конечно, сие малограмотный имеет значения равным образом туннели кардинально не возбраняется взметать ажно в глубине своей корпоративной сети, эпизодически конечные мережа равным образом приближенно имеют IP-связность безо туннеля.
В-третьих, невзирая нате то, что-нибудь умозрительно противоположно затор может повернуть оглобли равно никак не за туннелю, сотворить его необходимо, в надежде окончательный секция могу успешно декапсулировать GRE-пакеты

Обычный GRE – слепящий образчик туннелирования, кой беда попросту настраивается равным образом относительно совсем нечего делать траблшутится.
Очевидно, вас сделано догадываетесь, какие три старшие проблемы подстерегают нас для этом поле?
  • Безопасность. Данные, инкапсулированные на GRE, передаются тем невыгодный поменьше на открытом виде.
  • Сложность масштабирования. Если у вы 0-7 филиалов, траханье такого количества туннелей ещё будто возможным, а неравно их 00? Причём туннелирование трафика частенько производится сверху CPU, особенно держи младшей равным образом средней линейках, почему сие лишняя загрузка держи процессор.
  • Все филиалы будут взаимодействовать дружок вместе с другом вследствие первостепенный узел, даже если могли бы напрямую.

IPSec

Первую озвученную сверх проблему призвано разрешить шифрование.

Сейчас ради организации шифрованного VPN-канала используются по преимуществу следующие технологии: IPSec (IP Security), OpenVPN равно PPTP (Point-to-Point Tunneling Protocol).

Бессменным лидером, конечно, является IPSec, в рассуждении нём да поговорим.

Для основные положения нужно осознать себе, что такое? IPSec – сие малограмотный протокол, сие стандарт, включающий на себя аж три протокола, любой со своими функциями:
  1. ESP (Encapsulating Security Payload – безопасная инкапсулирование полезной нагрузки) занимается из первых рук шифрованием данных, а как и может гарантировать аутентификацию источника да проверку целостности данных
  2. AH (Authentication Header – форточка аутентификации) отвечает после аутентификацию источника равно проверку целостности данных
  3. IKE (Internet Key Exchange protocol – запись обмена ключами) используется на формирования IPSec SA (Security Association, об этом символически ниже), элементарнее говоря, согласования работы участников защищенного соединения. Используя сей протокол, участники договариваются, что за алгорифм шифрования бросьте использоваться, до какому алгоритму бросьте вырабатываться (и довольно ли вообще) ревизия целостности, на правах распознать дружок друга

Прежде нежели переваливать дальше, разберемся от термином SA – Security Association. SA во общем смысле представляет собою настройка параметров защищенного соединения (например, алгорифм шифрования, отпирка шифрования), какой-никакой может применяться обеими сторонами соединения. У каждого соединения кушать соединенный не без; ним SA.
Теперь за порядку, в качестве кого создается защищенное переплетение во IPSec:
  • Для начала, участникам потребно договорится, какие алгоритмы/механизмы защиты они будут эксплуатировать чтобы своего защищенного соединения, благодаря тому на деятельность вступает IKE. Процесс состоит с двух фаз:
    • Фаза первая: участники аутентифицируют союзник друга да договариваются об параметрах установки специального соединения (тоже защищенного), предназначенного лишь только пользу кого обмена информацией в отношении желаемых/поддерживаемых алгоритмах шифрования равно прочих деталях будущего IPSec-туннеля. Параметры сего мини-туннеля (правильно симпатия называется ISAKMP Tunnel) определяются политикой ISAKMP, на порядок редактирования которой наша сестра можем попасть с конфигурационного режима командой crypto isakmp policy номер_политики . Если стороны пришли ко соглашению, устанавливается ISAKMP выработка (его присутствие дозволяется вглядеться командой show crypto isakmp sa ), по части которому сделано проходит вторая стадия IKE.
    • Фаза вторая: поуже доверяющие товарищ другу участники договариваются что до том, в качестве кого возводить стержневой выработка пользу кого данных. Они в соответствии с очереди предлагают доброжелатель другу варианты, указанные на команде crypto ipsec transform-set , и, если бы приходят ко согласию, поднимают базисный туннель. Нужно сказать, что, впоследствии его установления, второстепенный ISAKMP выработка никуда малограмотный пропадает – возлюбленный используется про обновления SA основного. Дело на том, зачем ключи, выбираемые к шифрования информации на IPSec-туннеле, имеют некоторое “время жизни” (может прорываться равно как на количестве байт, круглым счетом равным образом на секундах – почто на первом месте достигнет порогового значения), в соответствии с прекращение которого должны состоять заменены. Это как бы пароль, каковой ваша сестра меняете крата на период (по умолчанию lifetime IPSec SA составляет 0608000 килобайт/3600 секунд).
  • Участники получили шифрованный дюкер со параметрами, которые их всех устраивают, равно направляют тама потоки данных, подлежащие шифрованию, т.е., подпадающие почти перечисленный на crypto map аксесс-лист.
  • Периодически, на соответствии из настроенным lifetime, обновляются ключи шифрования ради основного туннеля: участники сызнова связываются согласно ISAKMP-туннелю, проходят вторую фазу равно устанавливают новые SA.

Строго говоря, во этом процессе вкушать неопытный шаг: энский затор вынужден попасть на соотношение аксесс-листу на крипто мапе. Только впоследствии сего достаточно случаться постоянно остальное.

Теперь одну крошку относительно трансформ-сете да нежели отличается ESP через AH. Как будут шифроваться наши данные, идущие от туннель, определяет майна crypto ipsec transform-set имя_сета , в дальнейшем которой ну аюшки? ж названьице протокола, тот или иной хорошенького понемножку использован (ESP либо AH) + алгоритм, в области которому бросьте трудиться протокол. Например, бригада crypto ipsec transform-set SET1 esp-aes даст раскумекать роутеру, сколько трансформ-сет от именем “SET1”, если бы возлюбленный склифосовский применен, достаточно трудиться только лишь по части протоколу ESP c шифрованием алгоритмом AES. Ну ежели со ESP по сию пору более-менее понятно, его дело-шифровать (обеспечивать тайность ), ведь почто такое AH да дьявол возлюбленный по отношению ко всему нужен? AH обеспечивает аутентификацию данных, так глотать дает уверенность, почто сии причина пришли прямо с того, со кем наш брат установили связь, да малограмотный были изменены в области дороге. Если отнюдь не усиливаться на подробности, работает сие так: на отдельный набор в лоне заголовком IP да заголовком транспортного уровня вставляется маргиналия AH, на котором присутствует:
  • информация, в области которой лицензиат может понять, ко который SA относится установленный сверток (т.е., во волюм числе, объединение какому алгоритму ему расчислять хеш ради сравнения – MD5 иначе SHA)
  • таково называемый ICV (Integrity Check Value), представляющий внешне хеш с пакета (на самом деле, неграмотный лишь пакета, а неизменяемых во процессе путешествия полей), тот или другой позволяет конкретно увериться получателю, что-то текущий сверток безвыгодный изменялся по мнению дороге, хорошенечко прикидки хеша с пирушка а информации равно сравнения результата со значением сего поля.

IPSec может мучиться во двух режимах: туннельном равно транспортном.

Туннельный нагрузка работы IPSec
В этом режиме берётся ваш вечный IP-пакет, шифруется полностью, нераздельно не без; заголовком IP, добавляется служебная извещение IPSec равно новейший фонарик IP:


*рисунок безграмотный точен равным образом показывает всего только суть, получай самом деле заголовков тама больше, а где-то но лакомиться трейлеры на конце.

Это общественный порядок до умолчанию.

Давайте заново разберёмся объединение поворачивайся настройки.

На локальной стороне:

Сначала общую политику на фазы 0 – устав первого, вспомогательного туннеля: субчик шифрования (по умолчанию DES) равным образом аутентификации. Аутентификацию дозволительно действовать получи и распишись основе сертификатов, только да мы не без; тобой рассмотрим аляповатый модель со предварительным ключом:
  crypto isakmp policy 0 
encr aes
authentication pre-share


Часто задаются мало-мальски таких политзаключенный от различными комбинациями шифрования, хеша да группы DH. Чем более комната политики, тем с течением времени возлюбленный короче рассмотрен (в зависимости ото того, кто именно инициирует соединение). То питаться поначалу выбирается курс из наименьшим номером – невыгодный совпали держи обоих сторонах, выбирается следующая (с большим номером) равно т.д. Логично, в чем дело? самой безопасной должна являться первая.

Указываем pre-shared key интересах проверки подлинности соседа 000.0.0.1
  crypto isakmp key CISCO address 000.0.0.1 

Далее я указываем границы интересах обработки трафика. Алгоритм шифрования AES вместе с использованием ESP-заголовка да алгорифм аутентификации.
  crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac 

На самом деле автор сих строк указываем махом коллекция протоколов, наравне вас видите, спирт равным образом называется transform-set. При установке IPSec-сессии маршрутизаторы обмениваются этими наборами. Они должны совпадать.

Для упрощения траблшутинга имена к transform-set в большинстве случаев даются согласно применённым протоколам.

Теперь создаём карту шифрования:
  crypto map MAP1 00 ipsec-isakmp 
set peer 000.0.0.1
set transform-set AES128-SHA
match address 001

Вот не кто иной тута равно определяется надсыл соседа IPSec, из которым позже склифосовский наставать дюкер – 000.0.0.1. Тут но привязывается сверток протоколов равным образом ACL, определяющий, какой-никакой затор довольно шифроваться равно распространяться чрез туннель.

В нашем случае симпатия выглядит так:
  access-list 001 permit ip host 00.0.0.0 host 00.1.1.0 


Будьте внимательны близ задании ACL. Он определяет габариты безвыгодный лишь только исходящего трафика, да равным образом входящего (в орден с ACL про NAT, например).
То убирать разве придут пакеты безграмотный ото 00.1.1.0, а через 00.2.2.2, дьявол отнюдь не склифосовский обработан да дешифрован.
То бишь, разве наша сестра генерируем пробка от хоста вместе с адресом 00.0.0.0 возьми 00.1.1.0, ведь возлюбленный равным образом исключительно некто хорэ шифроваться равным образом двигаться не кто иной на IPSec-туннель. Любой новый пойдёт простым путём.
Заметим, почто шифрование, происходит чуть было не на самую последнюю очередь, позже маршрутизации.
И это, кстати, адски знаменательный момент. Вам не хватает маршрута предварительно публичного адреса сума (200.0.0.1). Нужен авиамаршрут давно 00.1.1.0 чтобы пусть даже симпатия дефолтный. Иначе блок довольно отброшен на соответствии не без; обычными правилами маршрутизации.
Как бы чудеса сие ни казалось, только затор во локальную вентерь у вы надо составлять “зарулен”, например, во Интернет. При этом приватные пакет, которые поуже сейчас должны бытийствовать отправлены ко провайдеру равным образом после этого отброшены, во концевой мгновение шифруется, получая публичные адреса.
Кстати, здесь глотать рамка от порядком следования операций, производимых надо трафиком.


Последний ступень – соотнесение игра в карты шифрования для интерфейсу. Пока вас сего невыгодный сделаете приспособление неграмотный короче работать.
  interface FastEthernet0/0 
crypto map MAP1

С обратной стороны нужно изготовить симметричную настройку.
Поэтому попросту применяем следующую конфигурацию бери R3:
  crypto isakmp policy 0 
encr aes
authentication pre-share
crypto isakmp key CISCO address 000.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
!
crypto map MAP1 00 ipsec-isakmp
set peer 000.0.0.1
set transform-set AES128-SHA
match address 001

interface FastEthernet0/1
crypto map MAP1

access-list 001 permit ip host 00.1.1.0 host 00.0.0.0

Вот да всё.

Но как много бы ваша милость задним числом ни смотрели show crypto session не так — не то show crypto isakmp sa , вам увидите всего только Down . Туннель не делать что-л. невыгодный поднимается.
Счётчики show crypto ipsec sa . Так а согласно нулям.

R1#sh crypto session
Crypto session current status

Interface: FastEthernet0/0
Session status: DOWN
Peer: 000.0.0.1 port 000
IPSEC FLOW: permit ip host 00.0.0.0 host 00.1.1.0
Active SAs: 0, origin: crypto map

R1#sh crypto isakmp sa
dst src state conn-id slot status

Дело на том, что такое? вы нельзя не кинуть на него трафик. В прямом смысле, как-то так:

R1#ping 00.1.1.0 source 00.0.0.0
Type escape sequence to abort.
Sending 0, 000-byte ICMP Echos to 00.1.1.0, timeout is 0 seconds:
Packet sent with a source address of 00.0.0.0
.!!!
Success rate is 00 percent (4/5), round-trip min/avg/max=60/94/160 ms
И по образу исключительно ваш брат сие сделали, вам ждёт успех:
R1#sh crypto session
Crypto session current status

Interface: FastEthernet0/0
Session status: UP-ACTIVE
Peer: 000.0.0.1 port 000
IKE SA: local 000.0.0.1/500 remote 000.0.0.1/500 Active
IPSEC FLOW: permit ip host 00.0.0.0 host 00.1.1.0
Active SAs: 0, origin: crypto map

R1#sh crypto isakmp sa
dst src state conn-id slot status
200.0.0.1 000.0.0.1 QM_IDLE 0 0 ACTIVE

Полная вид маршрутизаторов .

=====================
Задача №1

Начальная конфигурация: «IPsec»
Маршрутизатор R1 овчинка выделки стоит во центральном офисе.
Маршрутизатор R3 — сие маршрутизатор на одном с филиалов.
К схеме добавляется маршрутизатор R4 — другой филиал.

Задание:
1. Настроить выработка IPsec со использованием crypto-map средь R4 равно R1:
— Политики защиты данных такие же, как бы равным образом для того туннеля в кругу R3 равно R1.
2. Добавить соответствующие настройки пользу кого того ради R3 равным образом R4 опять же могли обменивать данными:
— Данные посредь филиалами следовать R3 равным образом R4 должны сообщаться при помощи основной маршрутизатор R1

Подробности задачи после этого
=====================

Что произошло?

1) Мы запустили пинг получи ячейка 00.1.1.0 со адреса 00.0.0.0.

2) Согласно таблице маршрутизации набор полагается фигурировать передан на публичную трал во томище виде, на каком дьявол есть.

3) Но маршрутизатор видит, зачем сие подпадает в соответствии с его ACL 001 равно передаёт пакетик во работу IPSec"у.

4) IPSec, работая на туннельном режиме (режим до умолчанию), упаковывает отправной куль поначалу на IPSec PDU, при случае шифруя всё равным образом вся, а позже укомплектовывает его новым IP-заголовком. В качестве адреса назначения маршрутизатор прописывает местожительство своего IPSec-соседа – 000.0.0.1.

На скриншоте подалее вас можете замечать инкапсуляцию:



Это был продуктообмен ICMP-сообщениям. Все исходные сведения зашифрованы, в книга числе и в возврасте IP, свежий IP-заголовок опирается нате настройку IPSec.

5) На конечном узле маршрутизатор видит, почто ячейка назначения принадлежит ему, снимает форточка IP равным образом видит маргиналия IPSec, этому протоколу возлюбленный равным образом передаёт сверток нате обработку. Последний дешифруется, удаляется все служебная информация, да материнский пачка путешествует дальше.

Почему автор сих строк запускали экий неестественный Ping? В нём автор сих строк указали код отправителя явно.

Если а ты да я попытаемся швырнуть Ping 00.1.1.0, так возлюбленный безвыгодный пройдёт, в силу того что что такое? маршрутизатор машинально подставляет во качестве отправителя адресок физического интерфейса: 000.0.0.1, тот или иной невыгодный попадает на выше- ACL, равно оттого набор пытается скрыться сверху задница последней надежды.

Какую самую главную проблему да мы вместе с тобой имеем тут? Бинго! Динамическая маршрутизация. Внедрить её на таких условиях чертовски – весь IGP требуют прямого L2-линка в ряду соседями, а безграмотный обеспечивает IPSec. Поэтому во такого склада реализации пробка отправляется на тоннель нате основе ACL да карточная игра шифрования, а отнюдь не таблицы маршрутизации.
Плюс да мы из тобой имеем проблему не без; мультикастом, поелику что такое? задаём конкретные подсети во ACL.

Полная архитектура маршрутизаторов .

=====================
Задача №2

Конфигурация: «IPsec»

Примечание:
Задача может существовать решена, во вкусе теоретически, приблизительно да практически.
Если Вы будете узнавать задачу для практике, в таком случае стараясь невыгодный уронить ни слова соблюдайте положение задачи.

Условия задачи:
Маршрутизатор R1 игра стоит свеч во центральном офисе равно ко нему будут подключены 0 филиала (для данной задачи довольно маршрутизаторов R1, R2, R3. R3 — во роли одного изо филиалов). В филиалах используются маршрутизаторы вместе с разными возможностями, равным образом надо эксплуатировать различные политики IPsec. Всего убирать 0 непохожие политики.
На маршрутизаторе R3, помимо туннеля на главный канцелярия как и снедать порядком туннелей из партнерами. Поэтому после этого равным образом созданы отличаются как небо и земля политики.
Трафик передается только лишь с филиалов во коренной офис, среди филиалами коммуникаций нет.

Со стороны филиала R3 на главнейший канцелярия R1 генерируются данные, которые инициируют тоннель VPN.
Вопрос: Какую политику защиты данных будут пускать в ход маршрутизаторы на построения туннеля посреди собой?

Подробности задачи шелковица
=====================

Это был тоннельный режим, коллеги. Переходим для следующему экспонату.

Транспортный порядок работы IPSec
Он числа нежели отличается с туннельного, хотя самое важное – сие схема инкапсуляции.

Вот пачка IPSec на туннельном режиме


А сие пакетик IPSec на транспортном:



То очищать тоннельный шифрует вечный куль целиком и полностью да добавляет новомодный текстовка IP. Транспортный а шифрует всё, что-то сверх уровня IP, а текстовка IP оставляет минуя изменений.

Грубо говоря, тоннельный система ваш брат используете ради того, так чтобы связать двум приватные бредень посредством публичную, обеспечив около этом зашифровывание (Что-то небось безопасного GRE). Транспортный но актуален тогда, когда-когда IP-связность уж достигнута, так пробка в обществе узлами нужно шифровать.
Удачным примером применения транспортного режима может взяться схематическое изображение сервер-клиент. Например, действие клиент-банка. Сервер равным образом что-то около ранее доступен, хотя траффик нужно зашифровать.

Но автор сих строк невыгодный об этом. Нам всё-таки, полагается связывать сети.

=====================
Задача №3

Схема: «итоговая элемент задачи 0.1»
Конфигурации устройств: возьми сайте проекта

Описание проблемы:
Не передаются причина посередь R1 равно R4.

Задание:
Найти ошибку да починить конфигурацию так, ради выработка средь R1 равно R4 установился равно передавался движение среди R1 да R4.

Подробности задачи туточки
=====================

GRE over IPSec

У начинающих туточки зачастую бывает стесненность ( симпатия равно у автора случился ): GRE over IPSec либо IPSec over GRE. В чём разница, идеже применяются. Нельзя для этом неграмотный остановиться.
Обычный режим, какой наш брат рассматриваем тутовник да некоторый применяется во подавляющем большинстве случаев, – сие GRE over IPSec, ведь глотать показатели GRE инкапсулируются заголовками ESP не ведь — не то AH



А IPSec over GRE означает, наоборот, сколько в середине будут зашифрованные эмпирика IPSec, а поверху заголовки GRE/IP. Они будут неграмотный зашифрованы:



Такой тип возможен, например, если бы зашифрование у вы происходит нате отдельном устройстве пред туннелированием



Зачем такая пахабщина нужна, невыгодный куда понятно, оттого естественным путем используется то есть GRE over IPSec.

Вернёмся для нашей старой схеме да реализуем бери ней не кто иной сей вариант.



Разумеется, быть этом у нас опять появляется тоннельный интерфейс (настраивается, равно как нормальный GRE):
  interface Tunnel0 
ip address 00.2.2.1 055.255.255.252
tunnel source 000.0.0.1
tunnel destination 000.0.0.1

И спустя некоторое время вам направляете во него необходимый вас траффик статическим маршрутом.
  ip route 00.1.1.0 055.255.255.255 00.2.2.2 

Что подле этом меняется во настройке IPSec?
В принципе, пусть даже даже если вас нисколько малограмотный поменяете, всё ранее довольно работать, хотя сие неграмотный отечественный путь.
Во-первых, ввиду тоннель сейчас существует (GRE), вышел нужды готовить его ещё равно средствами IPSec – допускается перетаранить его во транспортный режим, тем самым, сэкономив 00 байтов получай лишнем IP-заголовке:
  crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac 
mode transport

*Заметьте, менять, сие должно бери обоих сторонах, или сопредельность IPSec отнюдь не установится.

Во-вторых, шифроваться обязан вполне движение посередь филиалами, в таком случае лакомиться тот, тот или иной идёт вследствие туннель, соответственно, пропал необходимости писать всегда путы на ACL, поступим хитрее:
  access-list 001 permit gre host 000.0.0.1 host 000.0.0.1 

Условие выполняется, неравно сверху пристань пришёл траффик от заголовком GRE равно соответствующими адресами.

Что хорош случаться быть таком раскладе?
1) Пакет вместе с адресом назначения 00.1.1.0 приходит в маршрутизатор, оный определяет по мнению своей таблице, зачем донесение нужно вручить бери next-hop 00.2.2.2

R1#sh ip route 00.1.1.0
Routing entry for 00.1.1.0/32
Known via «static», distance 0, metric 0
Routing Descriptor Blocks:
* 00.2.2.2
Route metric is 0, traffic share count is 0

2) Это тоннельный интерфейс, из адресом назначения 000.0.0.1. Пакет упаковывается заголовком GRE да новым IP заголовком.

R1#sh int tun 0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 00.2.2.1/30
MTU 0514 bytes, BW 0 Kbit, DLY 000000 usec,
reliability 055/255, txload 0/255, rxload 0/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 000.0.0.1, destination 000.0.0.1
Tunnel protocol/transport GRE/IP

3) Сеть 000.0.0.1 известна чрез адресочек 000.0.0.2

R1#sh ip route
Gateway of last resort is 000.0.0.2 to network 0.0.0.0

А подсеть 000.0.0.0/30 подключена ко интерфейсу FE0/0
R1#sh ip route 000.0.0.0
Routing entry for 000.0.0.0/30, 0 known subnets
Attached (1 connections)

C 000.0.0.0 is directly connected, FastEthernet0/0

А держи него применена схема шифрования вместе с ACL.
Трафик, естественно, подпадает около него (имеет маргиналий GRE равным образом нужные IP-адреса), оттого всё, аюшки? находится в утробе внешнего IP-заголовка довольно зашифровано.

Такая элемент работы позволяет естественным путем насаждать динамической маршрутизации, а в свой черед изображать мультикастовый трафик, оставляя реальность шифрования. Хулиганы сейчас безграмотный смогут выкрасть секретные рецепты подготовление лифтов.

=====================
Задача №5

Схема: «GRE_over_IPSec»

Конфигурация: сверху сайте проекта

Описание проблемы:
После настройки GRE over IPSec в ряду R1 да R3, всё прелестно работает, движение посреди R1 равным образом R3 (c 00.0.0.0 для 00.1.1.0) передается.
Однако, от ряд дней, при случае руководитель хотел поглядеть положение VPN, обнаружилось, что-то для маршрутизаторах заключая в отлучке установленных SA.
Соответственно, движение в среде R1 равно R3 безграмотный шифруется.

Задание:
Необходимо подвергнуть испытанию настройки, поправить конфигурацию да содеять так, чтоб пробка шифровался (трафик посреди loopback-интерфейсами 00.0.0.0 да 00.1.1.0).

Подробности задачи после этого
=====================

Полная форма маршрутизаторов ради GRE over IPSec .

Можно совершить шелковица ещё одно дополнение: технически, позволительно выставить четырёхбайтовый фонарик GRE с пакета, указав не без; обоих сторон, ась? строй работы туннеля IPIP:
  interface Tunnel0 
tunnel mode ipip

Нужно истина помнить, ась? на этом случае инкапсулировать дозволительно исключительно способности IP, а малограмотный любые, вроде на случае GRE.

=====================
Задача №4

Схема: «GRE_over_IPSec»

Конфигурация: «GRE_over_IPSec»

Задание:
Изменить исходную конфигурацию GRE over IPSec да настроить GRE over IPsec минус использования crypto-map.

Подробности задачи туточки
=====================

IPSec VTI

Последний модель Site-to-Site VPN не без; использованием IPSec, который, собственно, да рекомендован циской – VTI (Virtual Tunnel Interface)

Настройка IPSec отличается тем, что такое? нам уж отнюдь не нужно учреждать ручной crypto-map (а уместно да ACL), где бы него автор сих строк создаём IPSec-профиль
  crypto isakmp policy 0 
authentication pre-share
crypto isakmp key CISCO address 000.0.0.1
!
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
mode transport

crypto ipsec profile VTI-P
set transform-set AES128-SHA

А его на свою очередность во зачем бы так ни стало нужно привязать для туннельному интерфейсу.
  interface Tunnel0 
tunnel protection ipsec profile VTI-P

Отличие ото использованных прежде Crypto map на том, в чем дело? без дальних разговоров в отлучке нужды учреждать ACL – поголовно трафик, попадающий во туннель, шифруется (карты шифрования тем невыгодный больше как прежде создаются, так уж автоматически).

Это получился рядовой Tunnel Protection без участия VTI. Так но раздольно используется.
Команда tunnel mode ipsec ipv4 указывает получи контрафакция VTI.
Отличие с обычного GRE на методах инкапсуляции – во VTI экономится 0 байта путём исключения GRE-заголовка.

Небольшое обрисовка
Полная форма маршрутизаторов чтобы IPSec VTI .


DMVPN

Апофеоз сегодняшнего выпуска – DMVPN (Dymamic Multipoint VPN). До этих пор слово была об универсальных вендоронезависымых вещах. К сожалению, DMVPN – штука наиболее цисковская равно открытых адекватных аналогов нонче далеко не имеет (поправьте, даже если ошибаюсь).

В предыдущих частях наша сестра решили проблему со безопасностью передаваемых данных – сейчас автор сих строк их шифруем – да со IGP – с помощью GRE over IPSec я используем динамической маршрутизации.
Осталась последняя засада – масштабируемость.
Хорошо, нет-нет да и у вы видишь такая сеточка:



По двойка туннеля для каждом узле равно всё.
Добавляем ещё нераздельно узел:



И ещё один:



Нужно еще с огромной форой свыше туннелей в целях получения полносвязной топологии. Типичная трудность со сложностью m*(m-1)/2.
Если отнюдь не эксплуатнуть Full-Mesh, а адресоваться для топологии Hub-and-Spoke вместе с одной центральной точкой, ведь появляется другая вопрос – траффик в лоне любыми филиалами бросьте просунуться вследствие первостепенный узел.

DMVPN позволяет сделать выбор обе проблемы.
Суть такая: выбирается центральная степень Hub (или несколько). Она бросьте сервером, для которому будут приставать клиенты (Spoke) равно брать всю необходимую информацию. При этом:

1) Данные будут зашифрованы IPSec
2) Клиенты могут изображать затор самотеком побратанец другу во огибание центрального узла
3) Только получи центральном узле необходим нединамический официальный IP-адрес. Удалённые узлы могут вмещать динамический местожительство равно торчать аж вслед за NATом, используя адреса изо частных диапазонов (Технология NAT Traversal ). Но возле этом возникают ограничения в области части динамических туннелей.

Это всё центр реликвия GRE да IPSec, сдобренное NHRP равным образом IGP.

Теория да житейское море DMVPN
Абстрагируясь с нашей старой сети, возьмём на обсуждение всего только Москву, ахан Интернет, которую хорошенького понемножку эмулировать маршрутизатор Балаган-Телеком, да по сути дела филиалы на Новосибирске, Томске равным образом Брно:



Новый IP-план:
Подсети, выделенные про подключения ко интернету филиалов:



LAN:



Для туннельных интерфейсов возьмём внутреннюю сеть:



И назначим равным образом адреса Loopback ради них:



Идея заключается на том, что-то получай центральном узле склифосовский одинокий единый динамический туннель, каковой пишущий сии строки настроим во самом начале, а присутствие добавлении новых удалённых точек, тогда безвыгодный нужны изменения – ни включать новые туннельные интерфейсы, ни перенастраивать еще существующий.
Фактически подле добавлении новых узлов налаживать нужно всего лишь их.
Везде запускается документ NHRP – NBMA Next Hop resolution Protocol.
Он позволяет подвижно учить адреса удалённых точек, какой-никакой желают приспособиться ко основной.
На нём равно основана осуществимость реализации multipoint VPN. Хаб (центральный узел) тогда выступает в духе сервер (NHS – Next-Hop Server), а по сию пору удалённые узлы будут клиентами (NHC – Next-Hop Client).
Звучит сие сложно. На пальцах пояснить в свою очередь неграмотный получится. Надо чуть единовластно однажды настроить да посмотреть, по образу бегают пакеты.

Конфигурация хаба:
  interface Tunnel0 
ip address 072.16.254.1 055.255.255.0
ip nhrp map multicast dynamic
ip nhrp network-id 0
tunnel source FastEthernet0/1.6
tunnel mode gre multipoint

По порядку:
ip address 072.16.254.1 055.255.255.0 – IP-адрес изо нужного диапазона.
ip nhrp map multicast dynamic – Динамическое усвоение данных NHRP с клиентов. Поскольку клиентов у нас вагон равно они могут существовать из динамическими адресами, возьми хабе воспрещено распатронить явное годность внутренних да внешних адресов.
ip nhrp network-id 0 – Определяем Network ID – несложно идентификатор, кто рекомендательно повинен являться одинаковым сверху всех узлах DMVPN (похож в OSPF Router-ID).
tunnel source FastEthernet0/1.6 – наследство GRE – привязывание для физическому интерфейсу.
tunnel mode gre multipoint – Туннель нате центральном узле бросьте терминировать постоянно туннели с удалённых точек. То убирать симпатия полноте точка-многоточка (Point-to-MultiPoint).

Конфигурация филиала:
  interface Tunnel0 
ip address 072.16.254.2 055.255.255.0
ip nhrp map 072.16.254.1 098.51.100.2
ip nhrp map multicast 098.51.100.2
ip nhrp network-id 0
ip nhrp nhs 072.16.254.1
ip nhrp registration no-unique
tunnel source FastEthernet0/0
tunnel mode gre multipoint


По порядку:
ip address 072.16.254.2 055.255.255.0 – IP-адрес с нужного диапазона.
ip nhrp map 072.16.254.1 098.51.100.2 – Статическое корреляция внутреннего равным образом внешнего адресов хаба.
ip nhrp map multicast 098.51.100.2 мультикастовый траффик в долгу добывать хаб.

Без этой команды у вы будут кончено интересные симптомы проблемы.
Вот вам запустили OSPF, пиринг поднимается, хаб равным образом филиалы переходят на имущество Full, обменялись маршрутами, да вас сейчас радуетесь, зачем всё отлично, равно шелковица бабах – пинг пропадает, пиринг падает, так всего со одной стороны, дескать истёк dead-timer.

*Mar 0 01:51:20.331: %OSPF-5-ADJCHG: Process 0, Nbr 072.16.255.2 on Tunnel0 from FULL to DOWN, Neighbor Down: Dead timer expired
msk-arbat-gw1#
*Mar 0 01:51:25.435: %OSPF-5-ADJCHG: Process 0, Nbr 072.16.255.2 on Tunnel0 from LOADING to FULL, Loading Done


Что после фигня?
Смотрим дебаг, смотрим дампы

*Mar 0 01:53:44.915: OSPF: Send hello to 024.0.0.5 area 0 on FastEthernet0/1.4 from 072.16.2.1
*Mar 0 01:53:44.919: OSPF: Send hello to 024.0.0.5 area 0 on FastEthernet0/1.7 from 072.16.2.33
*Mar 0 01:53:44.923: OSPF: Send hello to 024.0.0.5 area 0 on FastEthernet0/1.5 from 072.16.2.17
*Mar 0 01:53:44.923: OSPF: Send hello to 024.0.0.5 area 0 on FastEthernet0/1.8 from 072.16.2.129
*Mar 0 01:53:44.963: OSPF: Send hello to 024.0.0.5 area 0 on Tunnel0 from 072.16.254.1
msk-arbat-gw1#
*Mar 0 01:53:54.919: OSPF: Send hello to 024.0.0.5 area 0 on FastEthernet0/1.4 from 072.16.2.1
*Mar 0 01:53:54.923: OSPF: Send hello to 024.0.0.5 area 0 on FastEthernet0/1.7 from 072.16.2.33
*Mar 0 01:53:54.927: OSPF: Send hello to 024.0.0.5 area 0 on FastEthernet0/1.5 from 072.16.2.17
*Mar 0 01:53:54.931: OSPF: Send hello to 024.0.0.5 area 0 on FastEthernet0/1.8 from 072.16.2.129
*Mar 0 01:53:54.963: OSPF: Send hello to 024.0.0.5 area 0 on Tunnel0 from 072.16.254.1
msk-arbat-gw1#
*Mar 0 01:54:04.919: OSPF: Send hello to 024.0.0.5 area 0 on FastEthernet0/1.4 from 072.16.2.1
*Mar 0 01:54:04.927: OSPF: Send hello to 024.0.0.5 area 0 on FastEthernet0/1.7 from 072.16.2.33
*Mar 0 01:54:04.931: OSPF: Send hello to 024.0.0.5 area 0 on FastEthernet0/1.5 from 072.16.2.17
*Mar 0 01:54:04.935: OSPF: Send hello to 024.0.0.5 area 0 on FastEthernet0/1.8 from 072.16.2.129
*Mar 0 01:54:04.963: OSPF: Send hello to 024.0.0.5 area 0 on Tunnel0 from 072.16.254.1


На 0 OSPF Hello с хаба только лишь одинокий Hello ото филиала.
Как ваша сестра ранее поняли, маршрутизатор без затей далеко не может смозговать гораздо делегировать мультикастовые сведения бери домицилий 024.0.0.5, хаб их безвыгодный получает равным образом дёргает OSPF-сессию.

ip nhrp network-id 0 – Network ID. Не кровь из носу долженствует подобный вместе с таким а получай хабе.
ip nhrp nhs 072.16.254.1 – Статически понастроенный местоположение NHRP сервера – хаба. Именно благодаря тому на центре нам нужен нединамический всенародный адрес. Клиенты отправляют представление получай регистрацию нате хаб 072.16.254.1. Этот интерпелляция заключает отъюстированный топический местоположение туннельного интерфейса, а как и близкий всенародный адресочек (случай, рано или поздно давалец находится вслед NAT в эту пору безвыгодный рассматриваем).
Полученную информацию хаб заносит на свою NHRP-таблицу соответствия адресов. Эту но таблицу спирт распространяет по мнению запросу любому Spoke-маршрутизатору.

ip nhrp registration no-unique – неравно надсыл во филиалах выдаётся динамически, буква повеление обязательна.
tunnel source FastEthernet0/0 – соотнесение ко физическому интерфейсу.
tunnel mode gre multipoint – указываем, ась? образец туннеля mGRE – сие позволит образовывать подвижно туннели отнюдь не лишь накануне хаба, а да перед других филиалов.

У нас условия простая – кроме NAT – равно я можем ранее без дальних разговоров подвергнуть проверке структура туннелей.

msk-arbat-gw1#sh int tun 0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 072.16.254.1/24
MTU 0514 bytes, BW 0 Kbit, DLY 000000 usec,
reliability 055/255, txload 0/255, rxload 0/255
Encapsulation TUNNEL, loopback not set
Keepalive not set
Tunnel source 098.51.100.2 (FastEthernet0/1.6), destination UNKNOWN
Tunnel protocol/transport multi-GRE/IP
Key disabled, sequencing disabled
Checksumming of packets disabled

msk-arbat-gw1#ping 072.16.254.2

Type escape sequence to abort.
Sending 0, 000-byte ICMP Echos to 072.16.254.2, timeout is 0 seconds:
!!!
Success rate is 000 percent (5/5), round-trip min/avg/max=176/213/284 ms

msk-arbat-gw1#sh ip nhrp brief
Target Via NBMA Mode Intfc Claimed
172.16.254.2/32 072.16.254.2 098.51.101.2 dynamic Tu0 < >
msk-arbat-gw1#sh ip nhrp
172.16.254.2/32 via 072.16.254.2, Tunnel0 created 00:09:48, expire 01:50:11
Type: dynamic, Flags: authoritative unique registered
NBMA address: 098.51.101.2

nsk-obsea-gw1#sh ip nhrp brief
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 072.16.254.1 098.51.100.2 static Tu0 < >


OSPF
То лакомиться связность поуже обеспечена, да трудиться филиалы в эту пору отнюдь не могут – неграмотный настроена маршрутизация.

Тут про каждого протокола близкие всплывают тонкости.
Давайте рассмотрим ход настройки OSPF, про примера.

Поскольку я имеем широковещательную L2 невод нате туннельных интерфейсах, указываем безоговорочно фрукт бредень Broadcast держи туннельных интерфейсах бери всех узлах:
  ip ospf network broadcast 

Кроме того на таковский козни надо выбираться DR. Логично, чтоб им стал хаб. Всем Spoke-маршрутизаторам запрещаем интерес на выборах DR:
  ip ospf priority 0 

Ну и, естественно, определяем анонсируемые сети.
  router ospf 0 
network 072.16.0.0 0.0.255.255 area 0

Сети анонсируются:

msk-arbat-gw1#sh ip route

Gateway of last resort is 098.51.100.1 to network 0.0.0.0

172.16.0.0/16 is variably subnetted, 0 subnets, 0 masks
C 072.16.2.128/30 is directly connected, FastEthernet0/1.8
C 072.16.255.1/32 is directly connected, Loopback0
C 072.16.254.0/24 is directly connected, Tunnel0
C 072.16.2.32/30 is directly connected, FastEthernet0/1.7
C 072.16.2.16/30 is directly connected, FastEthernet0/1.5
C 072.16.2.0/30 is directly connected, FastEthernet0/1.4
O 072.16.255.128/32 [110/11112] via 072.16.254.2, 00:05:14, Tunnel0
198.51.100.0/28 is subnetted, 0 subnets
C 098.51.100.0 is directly connected, FastEthernet0/1.6
S* 0.0.0.0/0 [1/0] via 098.51.100.1

Пинг проходит

msk-arbat-gw1#ping 072.16.255.128

Type escape sequence to abort.
Sending 0, 000-byte ICMP Echos to 072.16.255.128, timeout is 0 seconds:
!!!
Success rate is 000 percent (5/5), round-trip min/avg/max=60/70/80 ms

Вот эдак выглядят пакеты, передающиеся помощью яруча Интернет:


* Дамп со nsk-obsea-gw1 fa0/0

Проверяем, на правах у нас проходит пинг ото одного филиала вплоть до другого:

nsk-obsea-gw1#ping 072.16.255.132

Type escape sequence to abort.
Sending 0, 000-byte ICMP Echos to 072.16.255.132, timeout is 0 seconds:
!!!
Success rate is 000 percent (5/5), round-trip min/avg/max=132/231/492 ms

nsk-obsea-gw1#traceroute 072.16.255.132

Type escape sequence to abort.
Tracing the route to 072.16.255.132

1 072.16.254.3 040 msec * 072 msec

nsk-obsea-gw1#sh ip nhrp br
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 072.16.254.1 098.51.100.2 static Tu0 < >
172.16.254.3/32 072.16.254.3 098.51.102.2 dynamic Tu0 < >

Как видите пакеты неграмотный заходят нате хаб, а идут напрямую зараз для маршрутизатор другого филиала помощью Интернет. Но жизнь мало-мальски сложнее.

Что происходит во сей момент?
1) Отправляем пинг бери приветствие Loopback-интерфейса на Томске
2) Согласно таблице маршрутизации, нижеследующий гоп

nsk-obsea-gw1#sh ip route 072.16.255.132
Routing entry for 072.16.255.132/32
Known via «ospf 0», distance 010, metric 01112, type intra area
Last update from 072.16.254.3 on Tunnel0, 00:18:47 ago
Routing Descriptor Blocks:
* 072.16.254.3, from 072.16.255.132, 00:18:47 ago, via Tunnel0
Route metric is 01112, traffic share count is 0

Это приветствие с сети, напрямую подключенной для интерфейсу Tunnel 0

nsk-obsea-gw1#sh ip route 072.16.254.3
Routing entry for 072.16.254.0/24
Known via «connected», distance 0, metric 0 (connected, via interface)
Routing Descriptor Blocks:
* directly connected, via Tunnel0
Route metric is 0, traffic share count is 0
0) Согласно настройкам интерфейса после этого используется NHRP. Смотрим таблицу соответствия, полученную с хаба

nsk-obsea-gw1#sh ip nhrp brief
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 072.16.254.1 098.51.100.2 static Tu0 < >

Как видите, домицилий 072.16.254.3 nhrp неизвестен .
Поэтому пакетик ICMP отправляется для статически понастроенный хаб – 098.51.100.2:

msk-arbat-gw1, fa0/1:


А хаб моментально но перенаправляет задание в спешный адрес:

msk-arbat-gw1, fa0/1:


4) Одновременно от сим маршрутизатор-клиент на Новосибирске отправляет NHRP-запрос, ширли-мырли который укрывает надсыл 072.16.254.3:

msk-arbat-gw1, fa0/1:


5) Хаб обладает сим знанием:

msk-arbat-gw1#sh ip nhr br
Target Via NBMA Mode Intfc Claimed
172.16.254.2/32 072.16.254.2 098.51.101.2 dynamic Tu0 < >
172.16.254.3/32 072.16.254.3 098.51.102.2 dynamic Tu0 < >

И отправляет эту информацию на NHRP-ответе:

msk-arbat-gw1, fa0/1:


Больше Хаб невыгодный встревает на пара слов двух споков.

6) ICMP задание пришёл на Томск:

tmsk-lenina-gw1, fa0/0:


Несмотря держи то, сколько кайфовый внешнем заголовке IP код источника – сие приветствие хаба, в глубине фигурирует извечный домицилий Новосибирского маршрутизатора:

7)Томск равно как доколь безвыгодный знает нисколько об адресе 072.16.254.2, пославшем ICMP-запрос.

tmsk-lenina-gw1(config-if)#do sh ip nh br
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 072.16.254.1 098.51.100.2 static Tu0 < >

Поэтому ICMP-ответ дьявол отправляет как и держи хаб:
tmsk-lenina-gw1, fa0/0:


8) Следом вслед ним некто интересуется об публичном адресе отправителя:

tmsk-lenina-gw1, fa0/0:


9)Ну да хаб, естественно, отвечает:

tmsk-lenina-gw1, fa0/0:


10) Сейчас в всех узлах актуальная оповещение NHRP:

msk-arbat-gw1(config-if)#do sh ip nhr br
Target Via NBMA Mode Intfc Claimed
172.16.254.2/32 072.16.254.2 098.51.101.2 dynamic Tu0 < >
172.16.254.3/32 072.16.254.3 098.51.102.2 dynamic Tu0 < >

nsk-obsea-gw1(config-if)#do sh ip nhr br
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 072.16.254.1 098.51.100.2 static Tu0 < >
172.16.254.3/32 072.16.254.3 098.51.102.2 dynamic Tu0 < >

tmsk-lenina-gw1(config-if)#do sh ip nh br
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 072.16.254.1 098.51.100.2 static Tu0 < >
172.16.254.2/32 072.16.254.2 098.51.101.2 dynamic Tu0 < >

Как видите, обращение происходит далеко не автоматически, а по мнению запросу, причём инициаторами являются всего лишь клиенты, благодаря этому который фактически, только лишь они знают, слабо писать (хаб изначально далеко не знает что касается клиентах ничего)

11) Следующий ICMP-запрос симпатия сейчас отправит по-новому:

nsk-obsea-gw1#sh ip route 072.16.255.132
Routing entry for 072.16.255.132/32
Known via «ospf 0», distance 010, metric 01112, type intra area
Last update from 072.16.254.3 on Tunnel0, 00:20:24 ago
Routing Descriptor Blocks:
* 072.16.254.3, from 072.16.255.132, 00:20:24 ago, via Tunnel0
Route metric is 01112, traffic share count is 0

Подсеть 072.16.254.0 подключена для интерфейсу Tunnel 0

nsk-obsea-gw1#sh ip route 072.16.254.3
Routing entry for 072.16.254.0/24
Known via «connected», distance 0, metric 0 (connected, via interface)
Routing Descriptor Blocks:
* directly connected, via Tunnel0
Route metric is 0, traffic share count is 0

12) Мы крошку повторяемся, но… Интерфейс Tunnel 0 является mGRE равным образом как один человек таблицы NHRP сполна трафик, в целях которого следующим хопом является 072.16.254.3 принуждён фигурировать инкапсулирован во GRE равно неглубокий IP-заголовок от адресом назначения 098.51.102.2 (В качестве адреса источника полноте выбран местоположение физического интерфейса – 098.51.101.2):

nsk-obsea-gw1(config-if)#do sh ip nhr br
Target Via NBMA Mode Intfc Claimed
172.16.254.1/32 072.16.254.1 098.51.100.2 static Tu0 < >
172.16.254.3/32 072.16.254.3 098.51.102.2 dynamic Tu0 < >

tmsk-lenina-gw1, fa0/0:


13) Ну равно засим пакетец не без; адресом получателя 098.51.102.2 отправляется в соответствии с таблице маршрутизации:

Gateway of last resort is 098.51.101.1 to network 0.0.0.0

Тут животрепещуще понимать, аюшки? вопреки получи и распишись то, в чем дело? соприкосновение в кругу филиалами осуществляется во отвод центрального узла, хаб все несёт тогда насущно важную вспомогательную функцию равно помимо него ни плошки нести записки и заботы неграмотный будет: некто предоставляет клиентам таблицу NHRP, а вдобавок анонсирует совершенно маршруты – филиалы распространяют маршрутную информацию безвыгодный напрямую дружище другу, а при помощи хаб.

Актуальная для текущий секунда вид узлов:
  msk-arbat-gw1 
interface Tunnel0
ip address 072.16.254.1 055.255.255.0
no ip redirects
ip nhrp map multicast dynamic
ip nhrp network-id 0
ip ospf network broadcast
ip ospf priority 00
tunnel source FastEthernet0/1.6
tunnel mode gre multipoint

nsk-obsea-gw1
interface Tunnel0
ip address 072.16.254.2 055.255.255.0
no ip redirects
ip nhrp map 072.16.254.1 098.51.100.2
ip nhrp map multicast 098.51.100.2
ip nhrp network-id 0
ip nhrp nhs 072.16.254.1
ip ospf network broadcast
ip ospf priority 0
tunnel source FastEthernet0/0
tunnel mode gre multipoint

tmsk-leneina-gw1
interface Tunnel0
ip address 072.16.254.3 055.255.255.0
no ip redirects
ip nhrp map 072.16.254.1 098.51.100.2
ip nhrp map multicast 098.51.100.2
ip nhrp network-id 0
ip nhrp nhs 072.16.254.1
ip ospf network broadcast
ip ospf priority 0
tunnel source FastEthernet0/0
tunnel mode gre multipoint
end

На сей секунда решены следующие проблемы:
1) Связность. Филиалы подключены равно доступны.
2) Маршрутизация. Через mGRE туннели успешно запущены IGP.
3) Масштабируемость. При добавлении нового spoke-маршрутизатора настраивается всего-навсего спирт непосредственно да не имеется необходимости вваливаться на конфигурацию ранее существующих узлов.
4) Разгрузили хаб – сквозь него передаётся лишь только должностной трафик.

Осталось урегулировать альтернатива со безопасностью.

IPSec
Решается сие наравне равно в навечерие – шифрованием.
Если про Site-to-Site VPN наша сестра ещё могли эксплуатировать pre-shared key, вследствие этого зачем наш брат жёстко задавали надсыл IPSec-пира, в таком случае во случае DMVPN нам нужна гибкость, а загодя наша сестра малограмотный знаем адреса соседей.
В своя рука со сим рекомендуется исчерпывание сертификатов. На xgu глотать хорошая дело соответственно центру сертификатов получай cisco.

Но ты да я к упрощения возьмём всё а настройку вместе с pre-shared ключом.
  crypto isakmp policy 0 
authentication pre-share

От рассмотренных вне Tunnel Protection равным образом VTI симпатия хорош иметь отличительной особенностью использованием шаблонного адреса:
  crypto isakmp key DMVPNpass address 0.0.0.0 0.0.0.0 

Опасность на этом месте на том, почто назначить IPSec-сессию не без; хабом, предвидя ключ, может все конструкция

Тут не запрещается тихонько эксплуатировать транспортный режим:
  crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac 
mode transport
crypto ipsec profile DMVPN-P
set transform-set AES128-SHA

Далее образованный полочка применяется получай тоннельный интерфейс. Настройка сверху всех узлах одинаковая.
  interface Tunnel0 
tunnel protection ipsec profile DMVPN-P

Теперь пакеты, передающиеся вследствие Интернет будут зашифрованы:
msk-arbat-gw1, fa0/1:


Только далеко не вздумайте установить tunnel mode ipsec ipv4 :)

IPSec-туннели равным образом картеж шифрования будут созидаться подвижно для того сеансов передачи данных средь филиалами равно будут перманентными интересах каналов Hub-Spoke.

NAT-Traversal
Тут ты да я безвыгодный будем окунаться во воззрения работы NAT-T Передам токмо суть: вслед счёт дополнительного UDP-заголовка IPSec может возводить дюкер через NAT. Это позволяет созидать VPN даже если получи тех узлах, идеже у вам пропал публичного адреса.
Нет необходимости нынешний функционал каким-то особым образом активировать да исправлять – возлюбленный работает в области умолчанию.
Усложним схему добавлением ещё одного маршрутизатора на Брно.



Допустим, сие провайдерская железка, осуществляющая натирование. То поглощать в действительности держи роутере на филиале у нас хорош динамический местоположение изо приватного диапазона держи физическом интерфейсе. GRE во чистом виде малограмотный может выстроить VPN присутствие таких условиях, IPSec может, да мудрено настраивать. mGRE на связке не без; IPSec может легко!

Давайте как карты лягут наравне выглядит рамка NHRP во этом случае:

msk-arbat-gw1#show ip nhrp brief
Target Via NBMA Mode Intfc Claimed
172.16.254.4/32 072.16.254.4 00.0.0.2 dynamic Tu0 < >

То принимать изучил некто всё-таки кулуарный адрес, специализированный провайдером.
Надо заметить, что-то на таблице маршрутизации вынужден состоять рейс прежде сего приватного адреса, выданного провайдером во филиале, чтобы ажно дефолтный.

На туннельном интерфейсе у нас активирован IPSec, посему должны бытийствовать картеж шифрования:

msk-arbat-gw1#show crypto map
Crypto Map «Tunnel0-head-0» 05537 ipsec-isakmp
Map is a PROFILE INSTANCE.
Peer=198.51.103.2
Extended IP access list
access-list permit gre host 098.51.100.2 host 00.0.0.2
Current peer: 098.51.103.2
Security association lifetime: 0608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
AES128-SHA,
}
Interfaces using crypto map Tunnel0-head-0:
Tunnel0

Таким образом шифрованный тоннель строится в кругу 098.51.100.2 да 098.51.103.2, дальше, информация как прежде шифрованные после счёт NAT-T на туннеле идут прежде 00.0.0.2. А далее ваша милость поуже знаете.

Толковая подробная оттиск по части NHRP .

=====================
Задача №6

Начальная конфигурация: «DMVPN»

Сценарий:
Сеть DMVPN была всецело работоспособной, всё работало корректно.
Но позднее перезагрузки хаба msk-arbat-gw1 началось странное поведение.

Задание:
1. Проверить дееспособность сети.
2. Перезагрузить хаб
3. После перезагрузки ревизовать дееспособность силок ещё раз в год по обещанию
4. Устранить проблему:
4.1. (минимум) Сделать силок опять-таки работоспособной
4.2. Сделать так, так чтобы подсак восстанавливалась автоматически, задним числом того в духе хаб паки появится.

Подробности задачи тогда
=====================

TShoot IPSec

На последок не терпится произнести пару слов насчёт том, в духе выносить решение проблемы от IPSec. Процедура-то вдали безвыгодный тривиальная.
При траблшутинге VPN огромную амплуа играют дебаги. Метод пристального взгляда получай конфиг в меньшей мере надежен – легко и просто дать дорогу небольшую ошибку.
Исключительно ценным инструментом на траблшутинге IPSec является sh crypto ipsec sa . Нет, труд ажно безграмотный во бинарном «поднялось — невыгодный поднялось», а во счетчиках, во первую каскад encaps-decaps . Можно открыть доступ непрекращающийся пинг равным образом наблюдать, какой-нибудь с счетчиков растет. Большинство проблем удается купировать не зачем иное таким образом.
Счетчики заключая безвыгодный растут? См. несравнимо применен крипто мап равно однако ли во порядке со ACL.
Растут error ? Что-то никак не приблизительно со согласованием, см. дебаг.
Растут encaps , так перевелся decaps ? Вперед отслеживать противоположную сторону туннеля, тутовник всегда хорошо.

MTU

Напоследок обсудим единовластно опасный миг – размер MTU. В жизни каждого системного/сетевого администратора наступает момент, когда-когда симптомы проблемы таковы: открывается яндекс, работает пинг, только ни нераздельно видоизмененный сайт отнюдь не доступен равно Outlook далеко не коннектится.

Дьявол кроется во размере MTU равным образом наличии дополнительных заголовков.

MTU – Maximum Transmission Unit. Это пиковый размер блока данных, какой-никакой может составлять передан посредством интерфейс. Это взгляд находится возьми пересечении L2 да L3 равно его комментарий может из другой оперы пользу кого разных вендоров.

Например, характеристичный размер MTU для того физического L3-интерфейса 0500. То есть, примерно говоря, IP-пакет размером 0500 байт хорошенького понемножку обработан, а 0501 – отброшен тож фрагментирован. Зачастую фрагментация пакетов запрещена, равно благодаря этому взрослые пакеты отбрасываются.

Если вас используете туннелирование, размер пакета увеличивается засчёт дополнительных заголовков (GRE, IPSec равным образом т.д.)
Например, к GRE: 04 байта (GRE, Новый IP).
Для GRE over IPSec: 06 да сильнее байтов (зависит через режима работы равно вроде шифрования)
Для PPPoE: 06 (PPP, PPPoE, Ethernet)

Сам тоннельный интерфейс имеет плоский MTU 0514 равным образом пропускает такие пакеты, же у провайдера получи и распишись физическом интерфейсе есть расчет MTU=1500, равным образом бери нём донесение достаточно отброшен:

R1#sh int tun 0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 00.2.2.1/30
MTU 0514 bytes , BW 0 Kbit, DLY 000000 usec,

R1#sh int fa0/1
FastEthernet0/1 is administratively down, line protocol is down
Hardware is Gt96k FE, address is c000.19ac.0001 (bia c000.19ac.0001)
MTU 0500 bytes , BW 00000 Kbit, DLY 0000 usec,

То питаться ваш брат должны соображаться никак не всего-навсего домашние настройки, только равным образом настройки всех промежуточных узлов.
Зачастую у вам пропал потенциал действовать сверху MTU объединение пути.
Поэтому ваш брат можете повысить MTU, в локальной стороне, пускать в ход уловка Path MTU Discovery иначе говоря хоть приспосабливать MSS – Maximum Segment Size (относится сделано для TCP).
Подробнее по отношению проблемах от MTU читайте тутовник равным образом после этого

Для всевозможных туннелей сие окончательно типичная проблема.

Почему а работают пинг равно яндекс?
Пакеты ICMP Request да Relpy имеют размер через 02 поперед 04 байтов, ya.ru возвращает весть немного информации, которая тотально укладывается во возможный размер 0500 вкупе со всеми заголовками.

P.S. К сожалению, незатронутыми остались следующие небезынтересные темы:

Полностью пролетели мимо темы удалённого доступа ради сотрудников.
Кроме того адски актуальна без дальних разговоров топик FlexVPN. Это новомодный шлаг развития VPN-технологий. Но использует IKE версии 0 да поддерживается на известный момент, наравне нормально всего лишь оборудованием cisco.
Нам бы точно желательно предоставить уважение да сим да тем да вона ещё тем темам, хотя всё тюкнуть на предел одной статьи невозможно.

Материалы выпуска

IP карта
Конфигурация устройств GRE , IPSec , GRE over IPSec , VTI , DMVPN )

Полезные ссылки


IPSec
www.firewall.cx/networking-topics/protocols/870-ipsec-modes.html
www.tcpipguide.com/free/t_IPSecModesTransportandTunnel.htm

DMVPN
www.anticisco.ru/blogs/?tag=dmvpn
xgu.ru/wiki/%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0_DMVPN_%D0%BD%D0%B0_%D0%BC%D0%B0%D1%80%D1%88%D1%80%D1%83%D1%82%D0%B8%D0%B7%D0%B0%D1%82%D0%BE%D1%80%D0%B0%D1%85_Cisco

NHRP.
habrahabr.ru/post/84738/
blog.ine.com/tag/nhrp/
FlexVPN.
www.cisco.com/en/US/docs/ios-xml/ios/sec_conn_ike2vpn/configuration/15-2mt/sec-intro-ikev2-flex.html
habrahabr.ru/post/160555/
alexandremspmoraes.wordpress.com/2012/06/28/hello-world-simple-lan-to-lan-flex-vpn-configuration/
alexandremspmoraes.wordpress.com/2012/07/02/flex-vpn-sample-lan-to-lan-configuration-with-dynamic-routing/

За мозгодробительные задачки исполать Наташе .

За комментарии равно пособничество в долгу Дмитрию .

Статью к вы подготовили eucariot равно gluck

А сверху прошлой неделе вышел глупый номер подкаста пользу кого связистов.

021 объяснение

avatar
во IPSec VTI профессия назваете VTI-P, a для туннелю прикручиваете DMVPN-P
avatar
Починено.
avatar
с большой отдачей у вы тут, а вообще, забыл сказать, благодарствуйте вслед за статью, архи познавательно!
avatar
Вам спасибо)
avatar
Снимаю пизда вами шляпу! Занятие достойное уважения. Не малых, наверное, усилий стоит только царапание настоль увесистого материала. Да равным образом пошиб подачи материала прямо-таки великолепный. Хоть во основном факты к меня невыгодный свежеиспеченный — прочитал до сей времени части не без; удовольствием. Приятно произносить таково «сбитый» материал.
Мне самому безвыгодный конца нет терпения равным образом усидчивости даже если инструкцию на пользователей написать. А по временам посещает любовь что-нибудь подобное сделать, же совершенно начинания разбиваются об нехватку времени (ну да вестимо лень).

P.S. Следил вслед «зарождением» вашего подкаста (правда, каюсь, ноне безграмотный послушал).
avatar
Да, вам правы — немалых. Если получи первые статьи уходило месяц-два, ведь не долго думая сие занимает в соответствии с четыре.
Но вам а понимаете, почто во первую цепочка автор учусь сам. Прежде автор боялся фраз IPSec, DMVPN, что огня.

Вы знаете, первые пару выпусков ни ко чему меня никак не обязывали — сие было прямо-таки интересно. Но сегодня аз многогрешный уж чувствую некую ответственность, якобы ваш покорнейший слуга обязан мерекать равным образом писать. В целом чувствование ахти приятно. Тем более, ась? сие вырастает во черт знает что большее :)
avatar
Я беспричинно во свое времена разбирался равно погружался во IP-телефонию, однозначно на Avaya. Учился сам, писал документацию с целью коллег, а выкристаллизовать сие на одинаковый вещь что-то около равно безграмотный собрался.
Кстати в полной мере согласен, в чем дело? близ написании описаний или — или подобных материалов, особенно до горячим следам задним числом того, во вкусе сам по себе разобрался, структурирует факультативно до этих пор разрозненные ученость да способствует лучшему пониманию. Особенно радует то, аюшки? во ваших материалах описаны безграмотный методики, а концепции. Т.е. невыгодный по части принципу «Хочешь раздать всемирная паутина — nat inside source route-map MTS interface GigabitEthernet0/2 overload», а что-то такое NAT, равным образом зачем прямо overload.
avatar
Большое благодарение вслед за статью, ахти несть полезного, принимать порядочно вопросов:
1) Какой отличается как небо через земли лишь эксплуатнуть holdtime для того NHRP сверху SPOKE"ах? Дело на том, аюшки? около стандратном holdtime кушать такая проблема: падает (перегружается) объединение какой-либо причине дюкер иначе своевольно роутер (который HUB), близ возвращении туннеля — связность неграмотный восстановится сразу, а придется постоять кого сей поры нате SPOKE"ах оттикает holdtime таймер.
2) В нежели отличие в среде tranform-сетами ah-sha-hmac esp-aes равным образом esp-aes esp-sha-hmac?
avatar
1) У нас по образу раз в год по обещанию об этом глотать задачка . Время ставится получи и распишись ваше усмотрение.
2) D обеих случаях используется шифровка пейлоада ESP-AES, только на первом случае — аутнетификация от использованием AH, а изумительный втором- аутнетификация силами ESP. В этом да вкушать опора орден ESP ото AH — возлюбленный может да шифовать равно аутнетифицировать.
avatar
1) Задачку видел, автор у себя использую holdtime 00, сомневаюсь в ажуре ли заниматься каждые 00 секунд reg. request"ы, или — или сие чрезмерно часто, оттого равным образом альтернатива экий возник.
2) А кой вариация скорее использовать? Использовать ESP равно для того шифрования пейлоада равным образом интересах аутнетификации, или — или объединять не без; AH? Какой вариант, на данном случае, сильнее «секьюрный»? И глотать ли доминанта без дальних слов воспользоваться DH группы сверх 0ой? Например 0ую сиречь 04ую?
Спасибо ради ответы. :)
avatar
1) Тут должно бы вспомять BFD, каковой отсылает единовременно во небольшую толику миллисекунд близкие кипалайвы либо настройку OSPF со таймерами hello, настроенными нате реконструирование чаще раза во секунду.
2) AH не вдаваясь в подробности для некоторых устройствах ранее неграмотный используется, например, для ASA. Так сколько в корне позволяется привыкать ESP.
avatar
По обоим вопросам до этого времени понятно) Еще присест благодарствую большое вслед статью да ответы.
avatar
Огромное, мега-спасибище!
Может быть. Вы поможете, дадите верное устремленность рещения такого типа мелкой задачки.
ROUTER1
| |
ISP1 ISP2
\ /
INTERNET
|
ROUTER1

нате router1 настроена симметрирование по мнению статьям из Anticisco
VPN реализован по мнению схеме GRE over IPSEC
IPSEC возьми R2 настроен круглым счетом
crypto map MAP1 0 ipsec-isakmp
set peer ISP1_IP default
set peer ISP2_IP

Есть охота реалиховать при помощи IPSec VTI
Каким обрахом паче настроить GRE? на срок который вижу 0 вариант: 0 GRE помощью 0 ISP равным образом разнообразный влияние маршрутов d cnfnbxtcrjq таблице (взлетит, кто в отсутствии ?)
Вариант не без; динамической маршрутизацией неграмотный рассматриваю ( а может стОит? ) в эту пору необходимости отнюдь не возникало

При потенциал поддержу проект, обещаю!
avatar
Вообще, статей да бери эту тему неграмотный мало.
Так alias по-другому довольно неуд туннеля чрез разных провайдеров. И либо уравновешивание нагрузки в ряду ними, либо активный/резервный.
По идее равным образом в таком случае равным образом другое может составлять реализовано, на правах статической маршрутизацией, где-то да IGP, но, разумеется, IGP предпочтительней.
avatar
Здравствуйте.

Со стороны провайдера настроены сабинтерфейсы

В конфигах nsk-obsea-gw1, tmsk-lenina-gw1, неужто равно БРНО аналогично:
interface FastEthernet0/0
description Internet
ip address 098.51.101.2 055.255.255.252 (198.51.102.2, 098.51.103.2)
duplex auto
speed auto
— во этом случае пинг нате 098.51.101.1 (198.51.102.1, 098.51.103.1) далеко не проходит.

А таково ходит:
interface FastEthernet0/0.101 (102, 003)
description Internet
encapsulation dot1Q 001 (102, 003)
ip address 098.51.101.2 055.255.255.252 (198.51.102.2, 098.51.103.2)
duplex auto
speed auto

Это ошибка, другими словами аз многогрешный что-то недопонял?

С уважением
avatar
Не совершенно понял — сие вас делаете тесты не так — не то у меня оплошка во статье?
Возможно, у вы транк настроен, на сторону сих маршрутизаторов?
avatar
Да смотри ваш покорнейший слуга равно думаю — сие ваш покорнейший слуга грубо накосячил не в таком случае — не то оплошка во статье? Чего-то ваш покорнейший слуга безграмотный улавливаю, а может такая но невезуха вроде у AlekseyTurkin изо микровыпуска. При dot1q получи коммутаторе 0 безграмотный ставится (Win7 x64, GNS3 0.8.3.1).
Вообще у меня до этого времени заработало всего только от interface FastEthernet0/0.101 (102, 003).
avatar
Вы но понимаете, что такое? эпизодически ваша сестра настраиваете сабинтерфейс — у вам из почему можно заключить транковый пристань равно штат идут тегированными, в таком случае лакомиться не без; заголовком 002.1q.
Если ваша сестра настраиваете общепринятый телесный интерфейс, в таком случае персонал будут нетегированными.
И разве у вы вид обеих концов довольно неконсистентна, ведь ни плошки безграмотный заработает.
Порты коммутатора, некоторый достаточно в лоне Москвой равным образом филиалами на каком режиме? У меня филиальные были аксессом. Но сие во вкусе бы базовые имущество в целях траблшутинга.
avatar
Вернулся сверху малость дней назад, вспомнил зачем делал со свичем (не работало) — поставил не долго думая access (убрал fa 0/0.101, ip назначил сверху fa0/0) — целое в одинаковой мере малограмотный работает, теперь набросаю схемку от нуля — отпишу эффект
avatar
Если невыгодный заработает, присылайте схему равно конфигурацию всех устройств. (можно держи почту).
avatar
Я тормоз… неграмотный никак не этак — ТОРРРМОЗЗЗ. пишу enc dot1q 001, а в свиче 0 указываю… Ура, ПОБЕДА… Спс.
avatar
В общем правильно, «лампочка, сие лампочка, а конфиг — факт». Жаль что такое? на GNS всего лишь GUI получи и распишись свичах… Ну его, оный GUI…
avatar
Вы можете пустить в дело маршрутизатор со свитчовыми платами наместо коммутатора)
avatar
Это которые в виде NM-16ESW? Спасибо, попробую
avatar
Огромное СПАСИБО!
avatar
Всегда, пожалуйста.
avatar
Подскажите, пожалуйста, по мнению IPSec во туннельном режиме.
Как сверток хорошенького понемножку выглядеть, если, например, пинговать не без; одного маршрутизатора, другой?
| свежий IP | IPSec | в возврасте IP | способности |
Тогда благообразный IP равным образом новоизобретённый IP будут одинаковыми?
avatar
Да, примерно, этак дьявол равным образом хорошенького понемножку выглядеть. Внутренний равно наружный IP будут одинаковыми.
avatar
Уважаемые Знатоки, чуткость вопрос) Раздел GRE other IPsec. Никак невыгодный могу увидеть каким образом при помощи GRE-туннель полноте подаваться OSPF. Покопавшись на интернте, наткнулся для PIM. Оно сиречь невыгодный оно? Подскажите пожалуйста, запутался)
avatar
А тогда в духе однова проблемы нет. В случае GRE over IPSec у нас принимать явственный тоннельный интерфейс, нате котором поднят OSPF. С сего интерфейса флегматически отсылаются мультикастовые сведения OSPF, которые после инкапсулируются на GRE равным образом IPSec равным образом достигают получателя держи другом конце.
Трудности начинаются во DMVPN, же они описаны во статье.
avatar
Спасибо, в настоящий момент всё понятно.
avatar
interface Tunnel0
ip address 00.2.2.1 055.255.255.252
tunnel source 000.0.0.1
tunnel destination 000.0.0.1
ip route 00.1.1.0 055.255.255.255 00.2.2.2
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
mode transport
access-list 001 permit gre host 000.0.0.1 host 000.0.0.1

GRE over IPSec сие равным образом убирать его код? в большинстве случаев не из чего писать безвыгодный надо? акцесс плита в интерфейс осуществлять отнюдь не надо? четное число автор запутался от GRE over IPSec.
avatar
Если возникает точки соприкосновения непонимание, нужно совершить небольшую паузу, а позднее брать да методично самому поразобрать во симуляторе задачу ото равно до.
В целом ваша сестра правы — GRE-туннель от применённым бери нём шифрованием — сие равным образом снедать GRE over IPSEC, всего лишь у вам получи и распишись туннельном интерфейсе безграмотный до черта команды с целью применения шифрования.
avatar
Помогите, пожалуйста, разобраться. Вроде по сию пору сделал, наравне написано, сравнил… сходится, так по какой-то причине безграмотный поднимается IPSec, когда-когда делаю пинг:
R1:
crypto isakmp policy 0
encr aes
authentication pre-share

crypto isakmp key CISCO address 001.0.0.1

crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac

crypto map MAP1 00 ipsec-isakmp
set peer 001.0.0.1
set transform-set AES128-SHA
match address 001

interface Loopback0
ip address 00.0.0.0 055.255.255.255

interface Tunnel0
ip address 00.2.2.1 055.255.255.252
tunnel source 001.0.0.1
tunnel destination 001.0.0.1

interface FastEthernet0/0
description R2
ip address 001.0.0.1 055.255.255.252
duplex auto
speed auto
crypto map MAP1

ip route 0.0.0.0 0.0.0.0 001.0.0.2
ip route 00.1.1.0 055.255.255.255 00.2.2.2

access-list 001 permit ip host 00.0.0.0 host 00.1.1.0

— R2:
crypto isakmp policy 0
encr aes
authentication pre-share

crypto isakmp key CISCO address 001.0.0.1

crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac

crypto map MAP1 00 ipsec-isakmp
set peer 001.0.0.1
set transform-set AES128-SHA
match address 001

interface Loopback0
ip address 00.1.1.0 055.255.255.255

interface Tunnel0
ip address 00.2.2.2 055.255.255.252
tunnel source 001.0.0.1
tunnel destination 001.0.0.1

interface FastEthernet0/1
description R2
ip address 001.0.0.1 055.255.255.252
duplex auto
speed auto
crypto map MAP1

ip route 0.0.0.0 0.0.0.0 001.0.0.2
ip route 00.0.0.0 055.255.255.255 00.2.2.1

access-list 001 permit ip host 00.1.1.0 host 00.0.0.0
avatar
Покажите, во вкусе вас запускаете пинг равно вместе с каким результатом.
avatar
R1#ping 00.1.1.0 source 00.0.0.0

Type escape sequence to abort.
Sending 0, 000-byte ICMP Echos to 00.1.1.0, timeout is 0 seconds:
Packet sent with a source address of 00.0.0.0
!!!
Success rate is 000 percent (5/5), round-trip min/avg/max=52/91/180 ms

R1#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status

IPv6 Crypto ISAKMP SA
avatar
автор есть во нежели ошибка! во интерфейс тунеля 0 в свой черед никуда не денешься снять стружку «КАРТУ»:

interface Tunnel0
ip address 00.2.2.2 055.255.255.252
tunnel source 001.0.0.1
tunnel destination 001.0.0.1
crypto map MAP1

да тут пелена изведать эксплуатация шифрования!
avatar
Я знал, почто ваша милость справитесь. Нужно было просто-напросто едва промежуток времени :)
avatar
Скажите пожалуйста, на результате реализации DMVPN, по образу делать прогноз загрузки туннеля. Правильно понимаю — короче единолично здоровенный «туннелище» получи и распишись центральном узле?
avatar
И одновременно но возник дальнейший спрос — позволяется ли сразу проэксплуатировать «обычные» GRE к отношения центрального узла равно филиалов, равным образом DMVPN про организации туннелей к рука посредь филиалами.

Получается нагромаждено, согласен. Скажете — с какой радости невыгодный возводить обычные туннели посреди филиалами — их лишше сотни (200 адресов в всего-навсего держи адресацию туннелей), разные политики качества сервиса держи туннели перед центра, наблюдение каналов прежде центра.
avatar
Использовать зараз позволено вполне.

Но благодаря чего бы вас равно их на одну невод безвыгодный объединить? Филиальные железки далеко не поддерживают DMVPN?
avatar
Мониторинг да правление туннелями. Когда снедать поверстно отделенный выработка — автор можем держи нем обменивать Qos, драться от отдельным видом трафика. Если короче единственный тоннель — да мы от тобой потеряем на гибкости.

Для сведения:
Провайдер дает MPLS L3 во филиалах.
Конечные устройства 08хх\19хх\28хх\29хх — прямиком ноне малограмотный знаю.

Поправьте меня, ежели ваш покорнейший слуга ошибаюсь
avatar
Если заправлять QoS со через политик, ведь неграмотный имеет значения возьми одном туннеле вас сие делаете сиречь возьми разных.
То принимать из через ACL ваш брат можете прибрать собственно захватывающий вам трафик.

Провайдер дает MPLS L3 во филиалах.
Вот туточки неграмотный понял. Если вы првоайдер сейчас даёт L3VPN, на какого хрена вы ещё DMVPN через него?
avatar
А аюшки? Вас смущает?
У нас используется одна адресация, у провайдера с целью организации соединений от нами используется другая(у них с целью нас отдельные VRF гораздо они «погружают» каналы со всей области, дотоле был L2).
Поверх всего делов сего положение — строятся туннели.
avatar
Работать это, конечно, будет.
Смущает цель. Для аюшки? ваша милость сие делаете? Если они сейчас выделяют вы L3VPN, следственно ваши узы изолированы ото сетей провайдера равно других пользователей. Вы можете флегматически пустить в дело самую прямую IP-маршрутизацию (правда встаёт урок маршрутизации у провайдера, а некто решаемый).

И около этом ваш брат лишаете себя удовольствия нести огромную махину DMVPN да снижаете нагрузку для процессоры.

Если только лишь дополнительное шифрование.
avatar


если бы будем этак действовать заново потеряем осуществимость следить каналы связи, в таком случае кушать зачем в утробе пусть будет так положительно для какому ведь филиалу.
И отнюдь не хотим «знать» насчет подсак провайдера
avatar
1) Не потеряете. При грамотной настройке политзаключенный — невыгодный дубово бери интерфейс, а выщепление нужного трафика равным образом занятие qos в него, всё короче коптеть
2) Сети провайдера ваша сестра отнюдь не увидите. Если возлюбленный вас даёт L3VPN, в таком случае ваша милость изолированы от всех, повторяюсь. То глотать ваш брат увидите только лишь линковые адреса, которые провайдер вы выделил.

Статистику по части линку около этом ваша милость можете скидывать от филиалов, воеже видать объёмы трафика.
avatar
То поглощать неужто его нафиг мою идею? :))
1) Кажется что-то GRE туннели дипломатичнее равным образом сообщительней одного интерфейса (CPU никак не вот досада безграмотный Gbit передаем) И на отладки — туннели кажутся сильнее удобными (imho)
2) Да оборона сии линковые адреса автор равно говорю (никакого присутствия на таблицах машрутизации)

То питаться безграмотный стоит только таково делать? :)
avatar
Ну гляди подумайте себе, что-то все ваша невод — сие двум маршрутизатора Cisco 0700. И симпатия пусть даже на перспективе безвыгодный имеет тенденции ко росту. Но ваша сестра поднимаете возьми нём OSPF равно i-BGP. На каждый случай.

То убирать такая диаграмма имеет квинтэссенция только лишь к дополнительного шифрования трафика, разве вас после сие этак беспокоитесь.

Обслуживать туннель. А нежели проще? Попрактикуйтесь не без; настройкой QoS равно ваш брат поймёте, ась? туннели далеко не обязательны.

2) Ну в духе же. Они у вам будут во таблицах, на правах directly connected во любом случае. Просто имейте ввиду, в чем дело? все ахан провайдера с целью вы — сам до себе внушительный маршрутизатор не без; двумя (или паче объединение числу филиалов) интерфейсами.

Но в навечерие обсудите вместе с провайдером злоба дня маршрутизации трафика — веселей всего, вы придётся возвышать какой-то IGP от ним, чтоб VFR провайдера знал насчёт ваших маршрутах да был в состоянии делегировать трафик. Но сие откровенный наименьший объём работы, нежели поддержание DMVPN.
avatar
Спасибо!
avatar
Стрелять изо орудия по части воробьям безвыгодный будем :)
avatar
:) Только поначалу не без; воробьями договоритесь.
avatar
Мониторить системами мониторинга, конечно. Будет одиночный здоровенный туннелище возьми стороне хаба.
avatar
экая досада в чем дело? во статье отнюдь не затронули ip-ip тунели :(
avatar
Цитата с статьи:

Можно свершить туточки ещё одно дополнение: технически, не грех удалить четырёхбайтовый маргиналия GRE с пакета, указав от обоих сторон, ась? власть работы туннеля IPIP:
interface Tunnel0

tunnel mode ipip

Нужно истина помнить, что такое? на этом случае инкапсулировать не запрещается токмо эмпирика IP, а никак не любые, равно как во случае GRE.

Больше беспокоить IP-IP никак не вслед за что.
avatar
Грамотно равным образом доступно, благодарствую вслед за труды.
(практикующий ccnp/ccip ;) )
avatar
Спасибо, лестно)
avatar
При начальной настройке VLANа во GNS появляется ошибка:
В чём может состоять проблема?
avatar
Вы пытаетесь настроить образ порта Access получи и распишись L3-интерфейсе маршрутизатора.
avatar
Хорошо, на этом месте моя особа лох.
а автор этих строк пишу
interface FastEthernet0/1.6
description Internet
encapsulation dot1Q 0
ip address 098.51.100.2 055.255.255.240

На моменте инкапсуляции заново появляется «Invalid input detected at "^" marker.
»
avatar
Покажите распечатка от ошибкой.
avatar

Может какие-то дополнительные настройки роутера нужны?
avatar
С непохожий моделью роутера всё заработало.
avatar
Добрый день, желательно бы вступиться совета еще безграмотный знаю для кому обратится.
Singl HUB, двоечка облака одно объединение локалке провайдера во-вторых после другого прова. Споки нет слов втором облаке из-за натом отправляют регистрейшн ревест, хаб его получает равным образом шлет реплай однако давно спрока настоящий реплай никак не доходит. Подскажите куда как копать пож) Причем присутствие первой загрузке всегда заведенным порядком регистрируется, сия фиговина начинается когда-никогда ваш покорный слуга выдергиваю линк имитируя снижение провайдера вследствие которого строится сие облако.(переключается сообразно SLA нате непохожий тракт объединение умолчанию равно после обратно, со временем сего безвыгодный поднимается) Кофниг неравно что-то очищать во этой теме www.certification.ru/cgi-bin/forum.cgi?action=thread&id=42637 ага бы малограмотный тянуть коммент для паркет страницы.
avatar
а не без; кой целью tunnel route-via mandatory сделаны возьми туннелях?
avatar
сие осталось из того момента нет-нет да и было двушник равноправных дефолтных маршрута
avatar
ваш покорнейший слуга олигодон блинок безвыгодный могу нате hubе возлюбленный регается на sh nhrp отобрашается равным образом неглубокий адресочек равным образом оный тот или иной вслед натом. а для споку ниче добреть никак не может. притом если бы мы флапаю интерфейс от отключенным вторым провайдером в таком случае весь норм подключается отключается. Как в таком случае сие связано от тем сколько дефолтный рейс второй подставляется, а мы однако немогу постигнуть как.
avatar
Опытным методом посчастливилось определить что-нибудь каста бредятина происходит кабы пингануть другую сторону тунеля со временем того равно как поднялся тунельный интерфейс, так по того наравне переключился дефолтный маршрут, благодаря чего во сей с чувством времени равно тунель погонит пробка сквозь другого провайдера, попозже подходит перевод сверху нужного провайдера спок присылает регистрейшр реквест, спок появляется у нас на nhrp таблице. же ко нему реплай поуже безвыгодный доходит. равным образом до сей времени затем сего отключай отнюдь не отключай пуще спок недоступен чрез сие облако. ребут равно постоянно вновь ок.
Я извиняюсь почто развел туточки у вам флуд, да аспидски авось-либо возьми вспоможение человека автобуса)
avatar
покажите sh route во миг отвала спока
avatar
sh ip route во смысле. пишите отпустило сверху
avatar
вдогонку еще:
1) награду ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/2 0.1.1.1 track 0 попросту ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/2 0.1.1.1
2) crypto isakmp invalid-spi-recovery попробуйте
avatar
Здравствуйте.

Если автор в точности понял, так у вы отнюдь не используется IPSec? И быть этом спок находится следовать NAT?

Насколько мы знаю, лишь у IPSec глотать способ пробивать NAT. Может, опробовать его настроить?
avatar
точно, ipsec- ведь нету… сообразно привычке сказал)) о ту пору насчет spi-recovery отбой. хотя вовлечение ipsec безошибочно ни для чему.
avatar
Для преодоления NAT да использования серых адресов нужен NAT-Traversal — сие фича IPSec.

«Spoke-маршрутизаторы могут владеть динамические IP адреса изо private диапазона, равно состоять следовать NAT. В этом случае маршрутизатор непроизвольно определяет присутствие NAT для пути, равным образом охватывает функционал NAT-T, что инкапсулирует IPsec пакеты на udp 0500». link .
avatar
убирать мнение, почто между тем бы невыгодный поднималось ни во каком случае. а тогда работает а сначала, невыгодный работает быть потере линка_и_потом_что-то_там. Мне кажется, со маршрутизацией кое-что безграмотный так. ну, равно ко слову, конфиг спока бы окинуть взглядом
avatar
Конфиг спока скинул во туже тему www.certification.ru/cgi-bin/forum.cgi?action=thread&id=42637
avatar
По первому даже если ваш покорнейший слуга уберу track 0 в таком случае по сути дела далеко не короче у меня резервирования канала получи обстоятельство безвыгодный работоспособности интернета у провайдера(то лакомиться тока даже если линк упадет), а эффект исчезания маршрута с таблицы хорош тот-же вследствие этого что линк во дауне да авиамаршрут исчезнет, равно отнюдь не довольно задержки его появления на таблице маршрутизации(а все сия дребедень возникает с подачи задержки посередь поднятием тунельного интерфейса да появлением дефолтного маршрута). Меня постоянно таки интересует благодаря чего присутствие временном уходе трафика при помощи другого прова теряется работоспособность.
По NAT-T сие весь таки фича NAT на VoceIP ей также сильно успешно пользуются. У вы а писалось ради производительность работы IPsec over Gre вроде бы симпатия тут работал ежели NAT-T прикол IPsec. mGRE поддерживает споки из-за натом равно безо IPsec тутовник моя особа уверен)
avatar
смотри выход IProute

Gateway of last resort is 072.29.66.65 to network 0.0.0.0

S* 0.0.0.0/0 [4/0] via 072.29.66.65, GigabitEthernet0/1
S 072.0.0.0/8 [1/0] via 072.29.66.65, GigabitEthernet0/1
172.29.0.0/16 is variably subnetted, 0 subnets, 0 masks
C 072.29.66.64/26 is directly connected, GigabitEthernet0/1
L 072.29.66.66/32 is directly connected, GigabitEthernet0/1
192.168.13.0/24 is variably subnetted, 0 subnets, 0 masks
C 092.168.13.0/28 is directly connected, Tunnel1
L 092.168.13.13/32 is directly connected, Tunnel1
192.168.100.0/32 is subnetted, 0 subnets
C 092.168.100.1 is directly connected, Loopback1
avatar
Можете вообразить подробную схему из указанием интерфейсов да IP-адресов? Попробую подтвердить возьми выходных.

И ещё злоба дня — местоположение 0.1.1.1 — спирт предвидится провайдером ото вас? Почему трансляции в него выполняются? Или ваша милость этак скрыли натуральный IP интерфейса Gig0/0/2?..

Плюс:
  route-map 0-ISP-Local permit 00 
match ip address 040
set ip next-hop 0.1.1.1


1.1.1.1 — сие код провайдера другими словами ваш? Если провайдера, так вследствие этого получи и распишись споке дьявол прописан на качестве map получи и распишись 092.168.23.13?

Я бы предложил отправить нате схему узы равно конфигурации, во вкусе они есть.
avatar
поддерживаю. да сызнова непонятно, откудова 00.0.0.0 берется, равным образом общий по-над eigrp полагается подумать.
avatar
10.0.0.0 сие старушка адресация из нее переезжаем, держи период переезда поддерживаем обе равным образом 092.168.х.х равно 00.х.х.х
avatar
Да 0.1.1.1 сие значит для автомате заменил вещественный IP неграмотный посмотрел. Да у меня снедать готовая конфигурация аз многогрешный упрощенную накидаю на ноченька глядя скину. В пятницу ми сейчас сие во продакшен выруливать еще обговорены размыкание 03 филиалов( беспричинно зачем автор этих строк нонче 0 облачко просто-напросто отключу затем еще походу буду докручивать.
avatar
Какая у вам модифицирование прошивка маршрутизаторов? У меня в отлучке команды crypto :(. Как моя особа понял нужна 02.4 а у меня 02.1. Можете подать мысль идеже скачать посвежее, дозволено получи почту
avatar
Таким образом про ПК1 возле общении не без; ПК2 малограмотный существует никакого Интернета – они пара будут думать, зачем находятся во одной локальной сети.
Ну малограмотный совсем. В arp таблице ваш покорный слуга неграмотный буду видать мак «соседа» которому пошлю документация вследствие GRE, да быть инкапсуляции на Ethernet-frame короче подставлен соответствующе мак шлюза.

По поводу IPSec. Попробовал настроить ту а схему от IPSec во транспортном режиме безо GRE — в свой черед заработало. Оно равно с фактами в руках — добавляются заголовки вместе с новыми IP (белыми) (я поставил ещё ISP роутер по мнению середине, фильтрующий серые IP — типо провайдер). Тогда дилемма возникает: даже если что поделаешь соорудить шифрованный стример м.у узлами на Интернете (и около этом дозволяется быть IPsec на тунельном режиме) — очищать ли соль взвихривать сперва GRE а дальше его шифровать? Подсети ради натом да в такой мере будут подвизаться то.
avatar
Ну невыгодный совсем. В arp таблице мы безвыгодный буду смотреть мак «соседа» которому пошлю сведения вследствие GRE, равным образом близ инкапсуляции на Ethernet-frame хорэ подставлен соответствующе мак шлюза.
Возможно, вам смущает экстремум Локальная сеть, так подразумевается отнюдь не вещательный сегмент, а то есть локальная ахан предприятия. И на этом случае всё вернее всего — Интернет про них, равно как маршрутизатор.

кушать ли значение взвевать поначалу GRE а впоследствии его шифровать?
В статье об этом говорилось. При чистом IPSec отнюдь не будут заниматься маршрутизации, в конечном счете заключая маршрутизация суммарно тогда неграмотный около чём, что такое? отнюдь не гибко.
avatar
Ну далеко не совсем. В arp таблице ваш покорнейший слуга безграмотный буду глядеть мак «соседа» которому пошлю информация чрез GRE, равно быть инкапсуляции во Ethernet-frame хорэ подставлен согласно мак шлюза.
Возможно, вы смущает слово Локальная сеть, только подразумевается безграмотный прокламативный сегмент, а то-то и есть локальная силок предприятия. И во этом случае всё вероятно — Интернет интересах них, вроде маршрутизатор.
Ну верно — тогда вместе с терминологией каша вышла. Фактически на рамках одной локалки равным образом вланы отличаются как небо и земля могут быть, прямо автор рано или поздно на ранний единовременно во статье прочел — что-то представил себя особенно бродкаст домен.

принимать ли идея увеличивать спервоначала GRE а следом его шифровать?
В статье об этом говорилось. При чистом IPSec безграмотный будут трудиться маршрутизации, практически по отношению ко всему маршрутизация не насчет частностей шелковица безграмотный возле чём, который отнюдь не гибко.

Возможно. Если выступление согласен об обмене соответственно мультикасту на OSPF — так несомненно — сие моя особа видел. Если совместный прецедент — ведь отнюдь не ес поперед этих пор. Т.е. кабы у меня всего только статическая маршрутизация, в таком случае смысла во GRE нет? Статья настолько объемная, что-нибудь неграмотный одновременно всё проясняется, а вслед статью вестимо — отдельное спасибо.
avatar
Что чисто всесторонний случай? GRE — сие экой а интерфейс, в качестве кого VLAN, например, либо — либо сабинтерфейс, да позволяет соответствующее со собою лозунг — гибкие ACL, пошлина статистики, сдерживание скорости, употребление политик, исчерпывание протоколов маршрутизации, настройку MTU.
IPSec — сие не насчет частностей далеко не интерфейс со всеми вытекающими. Поэтому IPSec-туннель во чистом виде — далеко не беда почасту применяющаяся вещь. Элементарно, попробуйте привязать во MRTG статистку за IPSec-туннелю.

Спасибо ради добрые слова)
avatar
Скиньте однако настройки во начале раздела «DMVPN».
А так на видео сказано, настроена мин связанность, равно ранее питаться масса sub-интерфейсов получай роутерах, пускай бы на таблицах ничто неграмотный написано
Также безграмотный отчетливо во вкусе роутеры от разными подсетями висят сверху одном коммутаторе.
avatar
Сейчас у меня безвыгодный осталось конфигурации всех узлов. Вы можете ухватить её с тех ссылок в готовую конфигурацию, аюшки? пишущий эти строки давал на статье.
avatar
Такой любопытный интересах меня вопрос. Построил тунель IPIP, пускаю пинг на удаленную приватную сеть. Смотрю снифером депеша такого склада что равным образом в долгу быть. Эзернет мужчина — IP рубрика не без; внешним IP — IP маргиналия вместе с индивидуальный IP — данные. Включаю кодирование путем IPsec общественный порядок транспортный. Пускаю пинг, смотрю снифером. По моей логике пакетец надо являться этакий «Эзернет ухажер — IP наименование от внешним IP — IP рубрика от особый IP — Зашифрованные данные». Но возлюбленный безвыгодный вмещает во себя IP заголовков частной сети: «Эзернет работник — IP форточка из внешним IP — Зашифрованные данные». Что меня побольше нежели устраивает) Но проблема имеет смысл пупок развяжется пропал IP маргиналий частной сети? Похоже держи тунельный IPsec, однако имеет смысл в точности транспорт) Дайте определение моей логике плиз. Благодарю
avatar
Обратите интерес получи и распишись секцию «Транспортный система работы IPSec». В обеих режимах лишь единодержавно форточка IP. Разница только лишь во том, который во туннельном шифруется целиком IP-пакет, а во транспортном токмо документация транспортного уровня (IP-заголовок безграмотный трогается).
avatar
1 А может лм IPSec VTI заниматься на тунельном режиме? Или токмо во транспортном?
2 Tunnel protection ( идеже мапы генеряться самочки ) что только лишь на технологии gre + ipsec или — или возьми чистом ip sec равно как не грех его применть, ради мапы со acl невыгодный прописывать?

Заранее спасибо.
avatar
С предыдущими двумя вопросами разобрался. Спустя 0 дня курения cisco.com )) Возник всего лишь остальной вопросительный знак

«Команда tunnel mode ipsec ipv4 указывает получай утилизация VTI.
Отличие через обычного GRE во методах инкапсуляции – во VTI экономится 0 байта путём исключения GRE-заголовка.» При этом да мы из тобой можем пускать в ход исключительно tunnel mode:
«Restrictions for IPsec Virtual Tunnel Interface
IPsec Transform Set
The IPsec transform set must be configured in tunnel mode only.» ( www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtIPSctm.html )

Версия ios старая, так далеко не думаю почто учение поменялась.

Так вишь — во нежели выгода? В отличае через транспортного режима gre over ipsec да мы от тобой добавляем ip ото ipsec ( во туннельном режиме ) + 00 Bt равно из-за счисление vti убираем 0 Br. В итоге исчерпывание ipsec voer gre экономичнее получи 06 Bt. С точки зрения размера пакета vti далеко не выгоден. (Поправьте разве безграмотный так). И ко «плюсу» его отнесне на таком случае нельзя.
avatar
Во-первых, так как дюкер еще существует (GRE), недостает нужды вытворять его ещё равно средствами IPSec – не грех свести его во транспортный власть


А во на официальном Design guide интересах DMVPN пишут, ась? с целью устройств вслед NAT нужен tunnel mode. У вы на статье transport mode везде? И работает?

If the crypto tunnel transits either a Network Address Translation (NAT) or Port Address Translation (PAT) device, tunnel mode is required.
avatar
Подскажите пожалуйста, по образу настроены Point-to-Point интерфейсы в роутере R2, R4,R5. Не могу осознать что кроме сабинтерфейсов равным образом тегированого трафика они у Вас настроенны.
avatar
Здравствуйте. Это темы предыдущих выпусков. В данный разок автор этих строк уж далеко не стал стоять нате этом вопросе, чтоб безвыгодный обременять статью. Я думаю, ваша милость во силах разобраться вместе с этим)
avatar

На ротуре R4: Fastethenet0/0 — 098.51.102.2
В в свой черед пора нате роутере R2 у нас беспримерный вещественный интерфейс на сторону R3, R4, R5 (fa0/1) хорошенького понемножку совмещать 098.51.101.1 для того крыша из R3. Как аз многогрешный понимаю нужно производить нате R2 0 сабинтерфейса равным образом согласно сабинтерфейсу сверху каждом с роутеров (R3,R4,R5) вместе с соответсвующений инкапсуляцией вланов. У вам но в сих ротуреах перевелся инкапсуляции. Как настроенна маршрутизация?
avatar
Добрый день! пытаюсь на PT расширить откалиброванный IPSec во вакууме, так задача бери обмене айдишниками сторон во isakmp тунеле, затем первого qick mode сведения застрельщик ругается почто ID отправителя равным образом получателя отнюдь не совпадают, на нежели может фигурировать проблема?
avatar
Был косячок от ACL, безвыездно работает
Спасибо вслед интресный да живительный материал!
avatar
Рад, зачем всё разрешилось. Приятного дальнейшего чтения!
avatar
Очень Вам признателен ради Ваш труд. Отлично объясняете. А безвыгодный подскажете возможна ли совершение ВПН получай Packet Tracer?
п.с. Диплом нужно в области ВПН написать, рекомендовали вытворять во РТ (преподаватель)
Заранее в долгу следовать отчёт
avatar
Не пробовал юстировать во РТ.
Полагаю, что-нибудь аж ежели есть, в таком случае самый узловой функционал. Тем более, если бы говорок насчёт чём-то, вроде, L2TP иначе говоря MPLS VPN.
В любом случае автор этих строк бы рекомендовал GNS. Важно ведь, какая набор узлов, а отнюдь не во чём вам её писали. Тем более, зачем во GNS у вы сущий IOS.
прочтение был удален
avatar
Извините за, может быть, безголовый вопрос.
В случае вашего примера
0) Отправляем вместе с 072.16.245.2 пинг получи приветствие Loopback-интерфейса во Томске
2) Согласно таблице маршрутизации, последующий гоп силок 072.16.254.3
3) Это адресок с сети, лично подключенной для интерфейсу Tunnel 0
4) Согласно настройкам интерфейса на этом месте используется NHRP. Смотрим таблицу соответствия, полученную с хаба
5) Как видите, домицилий 072.16.254.3 nhrp неизвестен. Пакет ICMP отправляется получи и распишись статически расположенный хаб – 098.51.100.2
6) А хаб вмиг но перенаправляет задание держи требуемый надсыл
7) Томск в свой черед непостоянно далеко не знает ни аза об адресе 072.16.254.2, пославшем ICMP-запрос. Поэтому отправляет ICMP отповедь для хаб.
8) Следом после ним спирт интересуется в рассуждении публичном адресе отправителя. Хаб ему отвечает.
У всех актуальная NHRP информация.
Собственно вопрос, да мы вместе с тобой сие 072.16.254.2, хотим пропинговать 072.16.255.132 (который находится во тенета 072.16.254.3)
  Хотя на фигища нам посылать ICMP в хаб,если логичнее было бы препроводить NHRN Resolution Request равным образом нахватать NHRP Resolution Reply. 
После а флегматически посылать ICMP сверху уж славный "внешний" приветствие 072.16.254.3

Ну ладно, отослали да мы от тобой ICMP echo request получи и распишись хаб, хаб послал нынешний а request на известную ему трал 072.16.254.3, невод безграмотный имея NHRP календарь спирт нас, отослала
ICMP replay назад получи и распишись хаб.
Хаб шлет настоящий echo replay нам(172.16.254.2)
Пакет достаточно типа:
    

На этом тяжба заканчивается, у всех актуальная оповещение NHRP.

Не посылает ли отечественный хост одновременно но в дальнейшем ping-a, NHRP запрос, да получает NHRP протест с хаба...
Ну alias на конце, задним числом того в духе хаб передал нам пинг, некто никак не отсылает NHRP возражение нам?
Просто тогда безграмотный обоснованно отнюдуже у нас новость NHRP по отношению пропингованной сети?
Спасибо прежде после ответ)
avatar
Прочитал всегда Ваши статьи «Сети про самых маленьких». В CPT решил совершенно задачи перед 0 темы (дальше неграмотный решился). Сам — новичок, а протяжно искал, из что такое? начать, да впервой вижу ёбаный материал. Сравнимо от учебниками 00-х сообразно физике, идеже невыгодный педагог профессору, а с целью людей. Должен заметить Вам огромнейшее спасибо!!! Для Вас шиш безвыгодный жалко. Ваш вещь +++++++++
avatar
Спасибо, Денис. Какое интеллигентное равным образом лестное сравнение)
Надеюсь, сверху 0-й части неграмотный остановитесь. Через пару месяцев выйдет 01-ая. :)
avatar
По поводу аналогов технологии DMVPN у других вендоров. Вот зачем очищать у Juniper www.juniper.net/techpubs/en_US/junos12.3x48/topics/concept/security-auto-discovery-vpn-understanding.html
avatar
Приветствую.
Вопрос соответственно исходным данным на таблице пользу кого dmvpn.
img-fotki.yandex.ru/get/5633/83739833.23/0_abbe8_ae57f462_XL.jpg
после этого а указаны адреса сетей чтобы хостов. Разве приблизительно можно?
У меня держи gsn3 выдает ошибку «bad mask ...»
avatar
Верно. Ошибка на скриншоте.
Спасибо.
avatar
косность чертить письмо, почему напишу спрос тогда же.
у вы во облаке тегов кушать «задачи», а кушать «задачки»
может стоит только их один раз иным способом разрубить тож не насчет частностей объединить?
avatar
Доброго времени суток, благодарность огромное следовать материал=)
У меня такая предмет внимания позднее того по образу построил IPSEC Tunnel запускаю пинг R1#ping 00.1.1.0 source 00.0.0.0 пинг проходит, а sh crypto session на down, за того равно как убрал авиамаршрут бери R1 ip route 00.1.1.0 055.255.255.255 00.2.2.2, crypto session во up"e, кто именно нибудь может ми отнести за счет во чём проблема, сиречь моя персона делаю что-нибудь ведь далеко не так, наперед благодарен.)
avatar
Извините всё работает, сие автор невнимательный)))
avatar
Коллеги, а пробовали совать базовую конфигурацию IPSEC во UNetlab?

Пользую образы L3 IOL, тоннель поднимается — затор отнюдь не бегает

R1#ping 00.1.1.0 source 00.0.0.0
Type escape sequence to abort.
Sending 0, 000-byte ICMP Echos to 00.1.1.0, timeout is 0 seconds:
Packet sent with a source address of 00.0.0.0

Success rate is 0 percent (0/3)
R1#sh cry
R1#sh crypto se
R1#sh crypto session
Crypto session current status

Interface: Ethernet0/0
Session status: UP-ACTIVE
Peer: 000.0.0.1 port 000
Session ID: 0
IKEv1 SA: local 000.0.0.1/500 remote 000.0.0.1/500 Active
IPSEC FLOW: permit ip host 00.0.0.0 host 00.1.1.0
Active SAs: 0, origin: crypto map

В GNS3 всё на порядке, только желательно бы разобраться из UNL
avatar
Видимо, во тексте статьи просчет (там идеже спич идёт об OSPF держи DMVPN). Раз для туннельном интерфейсе прописана /24, в таком случае да шальная план должна состоять 0.0.0.255. Нет ошибки?

router ospf 0
network 072.16.0.0 0.0.255.255 area 0
avatar
Здравствуйте, у меня вроде единожды стеснение ipsec over GRE либо наоборот… разве ваш покорнейший слуга согласно правилам понял, ведь во статье представлена строение пакета с целью туннельного режима ipsec? во транспортном а режиме архитектоника пакета короче смотреть если да уместно этой «пахабщины» по отношению которой вам пишите безграмотный будет. Или аз многогрешный далеко не прав?
avatar
Прошу прощения вслед за опечатку, свободно пишЕте, неужели согласен безграмотный об этом… уточню свою вопрос, когда представлена конфигурация пакета транспортного режима ipsec от инкапсулированным во него GRE, в таком случае самый начальный заголовок, обрисованный во статье на правах «новый ip» присваивается GRE?
avatar
Если хочешь содеять хорошо, сделай сам… задача снимается
avatar
Здравствуйте.
Такой вопрос.
Пользуюсь PacketTracer 0.2. Так чисто crypro ipsec выдает только:
Router(config)#crypto ipsec?
security-association Security association parameters
transform-set Define transform and settings

profile отсутствует. Соответственно далеко не могу настроить DMVPN. На всех типах роутеров проверил.
Также mode transporte невыгодный могу выставить.
Это ограничения PT?
Спасибо.
avatar
Добрый день.
Вопрос безвыгодный положительно по мнению теме, однако постоянно же.
Есть изрядно офисов, объединенных каналом передачи данных ото провайдеров. По технологии в эту пору шиш далеко не скажу, надлежит узнавать.
Для нас сие всё ясно как божий день выглядит — воткнули электрический провод не без; одной стороны во коммутатор, из прочий — линк появился.
Модернизируем сеть.
В частности, разложение получи и распишись vlan равным образом накипь радости жизни.
Проще токмо было бы разбить согласно географическому признаку, на правах рассматривается у вас.
Но вдобавок общей сложности прочего происходит постепенная регулирование ip-телефонов, подключенных для одной АТС во центральном офисе.
Изначально мы предполагал экстрагировать телефонию сообразно во всем офисам во единственный обособленный vlan. Но если на то пошло следует во канале в среде офисами посылать соответствующие метки.
Представители провайдеров говорят, что такое? ничего не поделаешь воспользоваться QinQ канал, да сие дороже. По стоимости посчитают.
Вопрос — прав ли я, предлагая сделать упор телефоны на единичный vlan (предполагается приложение так 000 телефонов, максимальная цистерна АТС — 000 абонентов)?
Или совершенно но наравне ведь объединение другому надо?
avatar
Скиньте обложка PT со лабораторной, пожалуйста. (можно получай почту
avatar
Этот занятие был поуже получи и распишись GNS3, благодаря тому файла со лабой во РТ нет.
Можете на конце статьи скачать конфигурацию да уделывать по мнению ней. Как пустить в ход GNS3 у нас было во отдельной статье: linkmeup.ru/blog/36.html. Правда спирт старовата.
Только зарегистрированные равно авторизованные пользователи могут переставать комментарии.