Дано: большое число филиалов, имеющих доступ к центральному офису по VTI.
Задача: упростить конфигурацию центрально маршрутизатора.
Решение: применяем Dynamic VTI на центральном маршрутизаторе. На филиалах остается Static VTI.
DVTI на HE:
crypto keyring KEYRING
pre-shared-key address 0.0.0.0 key 11111 - Адрес Brach допустим любой, ключ указываем. Можно разным Branch разные ключи указать.
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp profile DVTI
keyring KEYRING
match identity address Branch1-IP-Address - Адрес Branch1. Можно не ограничивать адреса,указав match identity 0.0.0.0
.
keepalive 10 retry 2 - Обязательно
virtual-template 1
!pre-shared-key address 0.0.0.0 key 11111 - Адрес Brach допустим любой, ключ указываем. Можно разным Branch разные ключи указать.
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp profile DVTI
keyring KEYRING
match identity address Branch1-IP-Address - Адрес Branch1. Можно не ограничивать адреса,указав match identity 0.0.0.0
.
.
.
match identity address BranchN-IP-Addresskeepalive 10 retry 2 - Обязательно
virtual-template 1
crypto ipsec transform-set TS ah-sha-hmac esp-aes
!
crypto ipsec profile VTI
set transform-set TS
!
interface Virtual-Template1 type tunnel
ip unnumbered FastEthernet0/0 - На FE0/0 ставим no keepalive, если допустимо. Если нет, то в качестве источника IP адреса берем Loopback
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI
!
SVTI на BranchN:
interface Loopback0
ip address 10.0.0.1 255.255.255.255
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
ip address 10.0.0.1 255.255.255.255
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp key 11111 address 1.1.1.1 - Адрес HE
crypto isakmp keepalive 10
!
crypto ipsec transform-set TS ah-sha-hmac esp-aes
!
crypto ipsec profile VTI
set transform-set TS
!
interface Tunnel0
description To HE
ip unnumbered Loopback0
tunnel source FastEthernet0/1
tunnel destination 1.1.1.1
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI
crypto isakmp keepalive 10
!
crypto ipsec transform-set TS ah-sha-hmac esp-aes
!
crypto ipsec profile VTI
set transform-set TS
!
interface Tunnel0
description To HE
ip unnumbered Loopback0
tunnel source FastEthernet0/1
tunnel destination 1.1.1.1
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI
Плюс не забываем про протокол маршрутизации. Для уменьшения нагрузки на маршрутизаторы и линии связи лучше использовать EIGRP.
В данном случае EIGRP используется только между HE и филиальными маршрутизаторами, чтобы BranchN мог аннонсировать свои внутренние сети центральному узлу. Поэтому на физических интерфейсах EIGRP включаем, но ставим ставим passive.
EIGRP на HE:
router eigrp 100
network 10.0.0.0 0.0.255.255
passive-interface FastEthernet0/0
passive-interface FastEthernet0/1
no auto-summary
passive-interface FastEthernet0/0
passive-interface FastEthernet0/1
no auto-summary
interface Virtual-Template1 type tunnel
ip summary-address eigrp 100 10.0.0.0 255.0.0.0 EIGRP на Branch1:
router eigrp 100
passive-interface default
no passive-interface Tunnel0
no passive-interface Tunnel0
network 10.0.0.0 0.0.255.255
no auto-summary
eigrp stub connected Важно! Оба конца туннеля должны быть ip unnumbered.
Полезные ссылки:
Virtual Tunnel Interface (VTI) Design Guide - этот дизайн гайд раньше был доступен на cisco.com. Теперь они его либо убрали совсем, либо как-то хитро спрятали. Стало проще найти его в Интернете, чем на их сайте.
IPSec Direct Encapsulation Design Guide
Спасибо! А можно уточнить чем объясняются требования:
ОтветитьУдалить1)Оба конца туннеля должны быть ip unnumbered.
2)На FE0/0 ставим no keepalive, если допустимо. Если нет, то в качестве источника IP адреса берем Loopback
3) Почему пасив интерфейсы в EIGP? Можно конфиг целиком посмотреть с адресами интерфейсов и пр. , а то сложно понять по отрывкам .
Для понимания темы, самое правильное, что могу посоветовать - обратиться к документу "Virtual Tunnel Interface (VTI) Design Guide". Раньше он находился в логичном месте на cisco.com, однако после очередной перетряски документации мне найти его не удалось. Но в интернете он все еще доступен.
ОтветитьУдалитьТеперь по пунктам:
1) Dynamic VTI configurations require the use of an IP unnumbered interface on the headend virtual template because they are session-based. The branch tunnel interface should also be IP unnumbered for routing protocols such as OSPF to properly form neighbor relationships. Do not use IP unnumbered on the headend and a static IP address on the branch tunnel interface.
2) If the inside LAN interface is the “borrowed” address for the “ip unnumbered” interface configuration of the tunnel interface, disable interface keepalives (no keep) so the interface line protocol is always up. Т.е. если я беру IP unnamebered с физического интерфейса (например, не хочу плодить IP-шники в сети) и при этом не хочу, чтобы IPSec падал при падении внутреннего физического интерфейса (отключили циску от внутреннего свича в филиале), я ставлю no keepalive на внутреннем физическом интерфейсе(при условии, это допустимо, т.е. никакие важные процессы не завязаны на состояние этого интерфейса - маршрутизация, EEM и т.п.).
3) EIGRP используется для объявления филиальными маршрутизаторами своих внутренних сетей центральному узлу по VTI каналу. Соответственно, EIGRP ходит только внутри VTI сети, на физических интерфейсах он ни с кем не "дружит", поэтому там passive. В статье, конечно, следовало указать это явно, равно как и конфигурацию IP, исправлюсь. :) Привести полный конфиг не смогу, стенд давно разобран, но, в принципе, в вышеуказанном гайде есть более-менее целые куски конфигурации. Правда не совсем такой случай, но все же можно составить более системное представление. Мои заметки нужны мне именно как краткое How-To, потому что реально эта информация очень быстро забывается.