Hirdetés

  2. Fórumok
  3. Hálózat, szolgáltatók
  4. Cisco vizsgák (CCNA, CCNP, CCIE)
Keresés
  • Téma összefoglaló
    Utoljára frissítve: 2020-02-27 09:43

    PROHARDVER!

    --- Még az új vizsgarendszer előtti információk, majd frissítjük! ---


    Gyakran ismételt kérdések
    Olvasd el a cikkeket itt.

Új hozzászólás Aktív témák

  • #2285 jerry311 nagyúr tusi_ #2282
    Új Válasz #2285
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    jerry311

    nagyúr

    válasz tusi_ #2282 üzenetére

    Javarészt a configod copy-pasztája. :DDD
    Itt-ott átírva és/vagy egyszerűsítve. Pl. csak 2 router Fa0/0-n összekábelezve.
    R2#show run

    crypto isakmp policy 10
    encr 3des
    hash md5
    authentication pre-share

    crypto isakmp key cisco123 address 30.0.0.1 no-xauth

    crypto ipsec transform-set cisco esp-3des esp-md5-hmac

    crypto map vpn-map 10 ipsec-isakmp
    set peer 30.0.0.2
    set transform-set cisco
    match address 100

    interface Loopback1
    ip address 172.16.0.1 255.255.255.0

    interface Loopback2
    ip address 192.168.1.1 255.255.255.0

    interface Loopback3
    ip address 172.16.1.1 255.255.255.0

    interface Tunnel10
    ip address 20.0.0.2 255.255.255.252
    tunnel source FastEthernet0/0
    tunnel destination 30.0.0.2
    !
    interface FastEthernet0/0
    ip address 30.0.0.1 255.255.255.252
    duplex auto
    speed auto
    crypto map vpn-map

    router eigrp 10
    network 20.0.0.0
    network 172.16.0.0 0.0.3.255
    no auto-summary

    ip route 0.0.0.0 0.0.0.0 30.0.0.2 --> mert lusta vagyok. :D

    access-list 1 deny 192.168.1.0
    access-list 1 permit any
    access-list 2 deny 192.168.0.0 0.0.0.255
    access-list 100 permit ip 172.16.0.0 0.0.1.255 192.168.0.0 0.0.1.255
    access-list 100 permit gre any any --> mert még annál is lustább vagyok. :D

    =========================================================
    =========================================================

    R1#show run
    crypto isakmp policy 10
    encr 3des
    hash md5
    authentication pre-share
    crypto isakmp key cisco123 address 30.0.0.1 no-xauth

    crypto ipsec transform-set cisco esp-3des esp-md5-hmac

    crypto map vpn-map 10 ipsec-isakmp
    set peer 30.0.0.1
    set transform-set cisco
    match address 100

    interface Loopback1
    ip address 192.168.0.1 255.255.255.0

    interface Loopback3
    ip address 192.168.2.1 255.255.255.0

    interface Tunnel10
    ip address 20.0.0.1 255.255.255.252
    tunnel source FastEthernet0/0
    tunnel destination 30.0.0.1

    interface FastEthernet0/0
    ip address 30.0.0.2 255.255.255.252
    duplex auto
    speed auto
    crypto map vpn-map

    router eigrp 10
    network 20.0.0.0
    network 192.168.0.0 0.0.3.255
    no auto-summary

    ip route 0.0.0.0 0.0.0.0 30.0.0.1

    access-list 1 deny 192.168.1.0
    access-list 1 permit any
    access-list 2 deny 192.168.0.0 0.0.0.255
    access-list 100 permit ip 192.168.0.0 0.0.1.255 172.16.0.0 0.0.1.255
    access-list 100 permit gre any any

    =========================================================
    =========================================================

    R1# show ip route eigrp
    172.16.0.0/24 is subnetted, 2 subnets
    D 172.16.0.0 [90/297372416] via 20.0.0.2, 00:06:24, Tunnel10
    D 172.16.1.0 [90/297372416] via 20.0.0.2, 00:06:24, Tunnel10
    R1#

  • #2284 crok Topikgazda tusi_ #2282
    Új Válasz #2284
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    crok

    Topikgazda

    válasz tusi_ #2282 üzenetére

    Több ponton is zavaros, hogy mit is akarsz pontosan :/

    interface Tunnel10
    ip address 20.0.0.1 255.255.255.252
    tunnel source FastEthernet0/0
    tunnel destination 40.0.0.2

    Ez alapján GRE tunnel a 30.0.0.2 és a 40.0.0.2 közt lenne.
    Ez a Wireshark alapján látszik is.
    Ha az ISAKMP konfig mind a két oldalon jó valamint az
    IPSec transformset is szimmetrikus akkor az IPSecnek
    nincs akadája, hogy kiépüljön. sh crypto isa sa.. DE!
    access-list 100 permit ip 192.168.0.0 0.0.1.255 172.16.0.0 0.0.1.255
    E szerint csak az lesz crypt-elve, ami ebbe beleesik, ebbe
    meg csak loopback címek esnek bele. Permit gre any any -vel
    meg azért mehet, mert akkor EIGRP neighborship az kiépül
    és lesz routing a tunnelen keresztül.

    Na. Pontosan mit szeretnél elérni? Mi a hálózat, amin
    ezt kivitelezni szeretnéd? Pingelnél A-ból B-be? Honnan
    hová, milyen source-destination kellene, hogy menjen?
    EIGRP kell, hogy menjen? Nem derül ki, hogy pontosan
    mit akarsz crypt-elni: azt, ami a tunnelben megy, vagy
    csak megadsz valamit a map-ben, amit szeretnél crypt-
    elve áttolni? Mert mind a kettő dolognak megvan a fele.

    Van lehetőség tunnel nélkül is crypt-elni, ez a legegyszerűbb:

    Az ilyeneket pedig nem szabad ám csinálni, kivéve, ha
    arra valami jó okod van:
    ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
    Ilyenkor ki lesz a next hop? Ilyenkor a route ugyan static
    de a láttad, mi az admin distance egy ilyen route-nál?
    Nincs next-hop -> innentől ha nem egy hálózatba esik egy
    packet destination-je meg a kimenő interface, akkor hova
    megy a csomag? ARP biztos nem lesz.. ez nem jó.

  • #2283 jerry311 nagyúr tusi_ #2282
    Új Válasz #2283
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    jerry311

    nagyúr

    válasz tusi_ #2282 üzenetére

    Ha crypto ACL-be beleteszed a külső IP-k közti forgalmat is, akkor nem fog menni, mert buta és úgy értelmezi, hogy titkosítania kéne már az első csomagot is, csak hát nincs mivel... Ezért kapsz hibát. Vagy valami ilyesmi. :) GRE-hez sosem értettem. :D

    GRE és 'mode transport' a transform-set configban nagyon szeretik egymást. Ez mondjuk opcionális egy ideig, aztán kötelező, attól függ mit konfigolsz.

    Csak telepítenem kell már egy NGS3-at...

Új hozzászólás Aktív témák