Привет, незнакомец!

Похоже, вы здесь новенький. Чтобы принять участие, нажмите одну из кнопок ниже!

Проблема с задачей СДСМ 7.1

Столкнулся с проблемой при решении задачки и никаких упоминаний в статье о подобном не встречается.

Сама задача:
Задание:
1. Настроить туннель IPsec с использованием crypto-map между R4 и R1:
— Политики защиты данных такие же, как и для туннеля между R3 и R1.
2. Добавить соответствующие настройки для того чтобы R3 и R4 также могли обмениваться данными:
— Данные между филиалами за R3 и R4 должны передаваться через центральный маршрутизатор R1
linkmeup.ru/blog/38.html

Так как делаю задачи в UNL,то для себя для наглядности использую несколько другую топологию:



Конфиги устройств:
R1

crypto isakmp policy 1
encr aes
authentication pre-share
crypto isakmp key ciscotwo address 192.0.2.2
crypto isakmp key ciscothree address 203.0.113.2
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
mode tunnel
!
crypto map MAP 10 ipsec-isakmp
set peer 192.0.2.2
set transform-set AES128-SHA
match address ipsectwo
crypto map MAP 20 ipsec-isakmp
set peer 203.0.113.2
set transform-set AES128-SHA
match address ipsecthree
!
interface Ethernet0/0
ip address 198.51.100.2 255.255.255.252
no keepalive
crypto map MAP
!
ip route 0.0.0.0 0.0.0.0 198.51.100.1
!
ip access-list extended ipsecthree
permit ip 192.168.0.0 0.0.0.255 10.0.0.0 0.0.0.255
deny ip any any
ip access-list extended ipsectwo
permit ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255
deny ip any any

R2

crypto isakmp policy 1
encr aes
authentication pre-share
crypto isakmp key ciscotwo address 198.51.100.2
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
mode tunnel
!
crypto map MAP 10 ipsec-isakmp
set peer 198.51.100.2
set transform-set AES128-SHA
match address ipsec
!
interface Ethernet0/0
ip address 192.0.2.2 255.255.255.252
no keepalive
crypto map MAP
!
ip route 0.0.0.0 0.0.0.0 192.0.2.1
!
ip access-list extended ipsec
permit ip 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255
permit ip 172.16.0.0 0.0.0.255 10.0.0.0 0.0.0.255
deny ip any any

R3

crypto isakmp policy 1
encr aes
authentication pre-share
crypto isakmp key ciscothree address 198.51.100.2
!
crypto ipsec transform-set AES128-SHA esp-aes esp-sha-hmac
mode tunnel
!
crypto map MAP 10 ipsec-isakmp
set peer 198.51.100.2
set transform-set AES128-SHA
match address ipsec
!
interface Ethernet0/0
ip address 203.0.113.2 255.255.255.252
no keepalive
crypto map MAP
!
interface Ethernet0/1
ip address 10.0.0.254 255.255.255.0
no keepalive
!
ip route 0.0.0.0 0.0.0.0 203.0.113.1
!
ip access-list extended ipsec
permit ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255
permit ip 10.0.0.0 0.0.0.255 172.16.0.0 0.0.0.255
deny ip any any


Первая часть задания выполнена успешно(работают пинги PC1-PC2,PC1-PC3),но не удается выполнить вторую даже после использования ответа.show crypto ipsec sa на R2 выглядит так:
interface: Ethernet0/0
Crypto map tag: MAP, local addr 192.0.2.2

protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.0.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.0.0.0/255.255.255.0/0/0)
current_peer 198.51.100.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 41, #recv errors 0

local crypto endpt.: 192.0.2.2, remote crypto endpt.: 198.51.100.2
plaintext mtu 1500, path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
current outbound spi: 0x0(0)
PFS (Y/N): N, DH group: none

inbound esp sas:

inbound ah sas:

inbound pcp sas:

outbound esp sas:

outbound ah sas:

outbound pcp sas:

protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.0.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)
current_peer 198.51.100.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 192.0.2.2, remote crypto endpt.: 198.51.100.2
plaintext mtu 1438, path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
current outbound spi: 0x78873EBA(2022129338)
PFS (Y/N): N, DH group: none

inbound esp sas:
spi: 0xFD335412(4247999506)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 3, flow_id: SW:3, sibling_flags 80000040, crypto map: MAP
sa timing: remaining key lifetime (k/sec): (4217121/2057)
IV size: 16 bytes
replay detection support: Y
ecn bit support: Y status: off
Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x78873EBA(2022129338)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 4, flow_id: SW:4, sibling_flags 80000040, crypto map: MAP
sa timing: remaining key lifetime (k/sec): (4217121/2057)
IV size: 16 bytes
replay detection support: Y
ecn bit support: Y status: off
Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:


В чем может быть причина и как возможно решить ситуацию?
Заранее большое спасибо за помощь в любом виде. :)

Комментарии

  • Проблему исправил самостоятельно,тему можно закрыть.
  • Неплохо было бы поделиться тем, как Вы решили проблему. Вполне вероятно, что Ваш опыт может быть ценным для кого-то.
    Ну, если Вам не лень, конечно :)
  • sapounov написал:

    Неплохо было бы поделиться тем, как Вы решили проблему. Вполне вероятно, что Ваш опыт может быть ценным для кого-то.

    Ну, если Вам не лень, конечно :)


    На R1 необходимо поправить acl,так как изначально он в туннели может инкапсулировать траффик только своей stub-сети.Необходимо добавить сети с других роутеров.
Войдите или Зарегистрируйтесь чтобы комментировать.